Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Microsoft Sentinel erfolgen das Parsing und die Normalisierung zur Abfragezeit. Parser werden als benutzerdefinierte KQL-Funktionen erstellt, die Daten in vorhandenen Tabellen (wie etwa CommonSecurityLog, benutzerdefinierte Protokolltabellen, Syslog) in das normalisierte Schema transformieren.
Benutzer verwenden Parser des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) anstelle von Tabellennamen in ihren Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in die Abfrage einschließen zu können.
Informationen zu Parsern in der ASIM-Architektur finden Sie im ASIM-Architekturdiagramm.
Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser
ASIM-Parser sind in jedem Microsoft Sentinel-Arbeitsbereich integriert und sofort einsatzbereit verfügbar.
ASIM unterstützt außerdem die Bereitstellung von Parsern für bestimmte Arbeitsbereiche von GitHub mithilfe einer ARM-Vorlage. Parser, die im Arbeitsbereich bereitgestellt werden, werden für die Entwicklung und Verwaltung von ASIM-Parsern verwendet. Vom Arbeitsbereich bereitgestellte Parser sind funktional gleichwertig, weisen jedoch geringfügig unterschiedliche Benennungskonventionen auf, sodass beide Parsersätze mit integrierten Parsern im selben Microsoft Sentinel-Arbeitsbereich koexistieren können. Lesen Sie mehr über im Workspace bereitgestellte Parser, um diese bereitzustellen, zu verwenden und zu verwalten.
Es wird empfohlen, integrierte Parser beim Entwickeln von ASIM-Inhalten zu verwenden. Vom Arbeitsbereich bereitgestellte Parser werden in der Regel während des Parser-Entwicklungsprozesses verwendet oder um geänderte Versionen von integrierten Parsern bereitzustellen, wie in der Verwaltung von Parsern beschrieben.
Parserhierarchie und -benennung
ASIM umfasst zwei Ebenen von Parsern: vereinheitlichende Parser und quellenspezifische Parser. Der Benutzer verwendet in der Regel den vereinheitlichenden Parser für das relevante Schema, um sicherzustellen, dass alle für das Schema relevanten Daten abgefragt werden. Der vereinheitlichende Parser ruft wiederum quellspezifische Parser auf, um die eigentliche Analyse und Normalisierung durchzuführen, die für jede Quelle spezifisch ist.
Der Name des vereinheitlichenden Parsers ist _Im_<schema>, wobei <schema> für das spezifische Schema steht, dem es dient. Quellenspezifische Parser können auch unabhängig voneinander verwendet werden. Ihre Benennungskonvention ist _Im_<schema>_<source>V<version>. Sie können eine Liste der quellspezifischen Parser in der Liste der ASIM-Parser finden.
Hinweis
Eine entsprechende Gruppe von Parsern, die _ASim_<schema> verwenden. Diese Parser unterstützen keine Filterparameter und werden aus Gründen der Abwärtskompatibilität bereitgestellt.
Tipp
Die Parserhierarchie fügt eine Ebene zur Unterstützung der Anpassung hinzu. Weitere Informationen finden Sie unter Verwalten von ASIM-Parsern.
Nächste Schritte
Weitere Informationen zu ASIM-Parsern finden Sie hier:
- Verwenden von ASIM-Parsern
- Entwickeln benutzerdefinierter ASIM-Parser
- Verwalten von ASIM-Parsern
- Liste der ASIM-Parser
Weitere Informationen zu ASIM im Allgemeinen finden Sie unter:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (ASIM)