Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie advanced Security Information Model (ASIM)-Parser anstelle von Tabellennamen in Ihren Microsoft Sentinel-Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in Ihre Abfrage einzuschließen. In der folgenden Tabelle finden Sie den relevanten Parser für jedes Schema.
Vereinheitlichen von Parsern
Wenn Sie ASIM in Ihren Abfragen verwenden, verwenden Sie vereinheitlichende Parser , um alle Quellen zu kombinieren, die mit demselben Schema normalisiert sind, und abfragen Sie sie mithilfe normalisierter Felder. Der vereinheitlichende Parsername ist _Im_<schema>, wo <schema> er für das spezifische Schema steht, das es dient.
Die folgende Abfrage verwendet beispielsweise den integrierten DNS-Einheitsparser, um DNS-Ereignisse mithilfe der normalisierten Felder ResponseCodeName, SrcIpAddr und TimeGenerated abzufragen.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Im Beispiel werden Filterparameter verwendet, wodurch die ASIM-Leistung verbessert wird. Dasselbe Beispiel ohne Filterparameter würde wie folgt aussehen:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
In der folgenden Tabelle sind die verfügbaren vereinheitlichenden Parser aufgeführt:
| Schema | Vereinheitlichen des Parsers |
|---|---|
| Alert-Ereignis | _Im_AlertEvent |
| Überwachungsereignis | _Im_AuditEvent |
| Authentifizierung | _Im_Authentication |
| DHCP-Ereignis | _Im_DhcpEvent |
| DNS | _Im_Dns |
| Dateiereignis | _Im_FileEvent |
| Netzwerksitzung | _Im_NetworkSession |
| Prozessereignis | _Im_ProcessCreate _Im_ProcessTerminate |
| Registrierungsereignis | _Im_RegistryEvent |
| Benutzerverwaltung | _Im_UserManagement |
| Websitzung | _Im_WebSession |
Optimieren der Analyse mithilfe von Parametern
Die Verwendung von Parsern wirkt sich möglicherweise auf die Abfrageleistung aus, hauptsächlich aus dem Filtern der Ergebnisse nach der Analyse. Aus diesem Grund verfügen viele Parser über optionale Filterparameter, mit denen Sie vor dem Analysieren und Verbessern der Abfrageleistung filtern können. Mit Abfrageoptimierung und Vorfilterung bieten ASIM-Parser häufig eine bessere Leistung im Vergleich dazu, wenn überhaupt keine Normalisierung verwendet wird.
Verwenden Sie beim Aufrufen des Parsers immer verfügbare Filterparameter, indem Sie einen oder mehrere benannte Parameter hinzufügen, um eine optimale Leistung der ASIM-Parser sicherzustellen.
Jedes Schema verfügt über einen Standardsatz von Filterparametern, die in der entsprechenden Schemadokumentation dokumentiert sind. Filterparameter sind vollständig optional.
Ein Beispiel für die Verwendung von Filterparsern finden Sie unter Vereinheitlichen von Parsern.
Der Pack-Parameter
Um die Effizienz zu gewährleisten, pflegen Parser nur normalisierte Felder. Felder, die nicht normalisiert sind, haben weniger Wert, wenn sie mit anderen Quellen kombiniert werden. Einige Parser unterstützen den Packparameter . Wenn der pack-Parameter auf true gesetzt ist, packt der Parser zusätzliche Daten in das dynamische Feld AdditionalFields.
Der Artikel zur Liste der Parser führt Parser auf, die den Pack-Parameter unterstützen.
Verwandte Inhalte
Weitere Informationen finden Sie unter: