Gunakan parser Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)
Di Microsoft Sentinel, penguraian dan normalisasi terjadi pada waktu kueri. Pengurai dibangun sebagai Fungsi KQL yang ditentukan pengguna yang mengubah data di tabel yang sudah ada, seperti CommonSecurityLog, tabel log kustom atau Syslog ke dalam skema yang telah dinormalisasi.
Pengguna gunakan parser Model Informasi Keamanan Tingkat Lanjut (ASIM) alih-alih nama tabel dalam kuerinya untuk melihat data dalam format yang dinormalisasi, dan untuk menyertakan semua data yang relevan dengan skema dalam kueri Anda.
Untuk memahami bagaimana parser cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.
Penting
ASIM saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser ASIM bawaan dan parser yang disebarkan di ruang kerja
Banyak parser ASIM dibangun dan tersedia di luar kotak di setiap ruang kerja Microsoft Azyre Sentinel. ASIM juga mendukung penyebaran parser ke ruang kerja dari GitHub tertentu, menggunakan templat Azure Resource Manager atau secara manual. Parser di luar kotak dan yang disebarkan di ruang kerja secara fungsional setara, tetapi memiliki konvensi penamaan yang sedikit berbeda, memungkinkan kedua set parser untuk hidup berdampingan di ruang kerja Microsoft Azure Sentinel yang sama.
Setiap metode memiliki keunggulan dibandingkan yang lain:
| Bandingkan | Bawaan | Disearkan di ruang kerja |
|---|---|---|
| Kelebihan | Ada di setiap instans Microsoft Azure Sentinel. Dapat digunakan dengan konten bawaan lainnya. |
Parser baru sering dikirim terlebih dahulu sebagai parser yang disebarkan di ruang kerja. |
| Kekurangan | Tidak dapat langsung dimodifikasi oleh pengguna. Lebih sedikit parser yang tersedia. |
Tidak digunakan oleh konten bawaan. |
| Kapan digunakan | Gunakan dalam banyak kasus bahwa Anda memerlukan parser ASIM. | Gunakan saat menyebarkan parser baru, atau untuk parser yang belum tersedia di luar kotak. |
Disarankan untuk menggunakan parser bawaan untuk skema yang parser bawaannya tersedia.
Hierarki dan penamaan parser
ASIM meliputi dua tingkat parser: pemersatu parser dan parser sumber khusus. Pengguna biasanya menggunakan parser pemersatu untuk skema yang relevan, memastikan semua data yang relevan dengan skema yang dikueri. Parser pemersatu pada gilirannya memanggil parser khusus sumber untuk melakukan penguraian dan normalisasi yang sebenarnya, yang khusus untuk setiap sumber.
Nama pengurai pemersatu adalah _Im_<schema> untuk pengurai bawaan dan im<schema> untuk pengurai yang disebarkan di ruang kerja, di mana <schema> singkatan dari skema spesifik yang dilayaninya. Pengurai khusus sumber juga dapat digunakan secara independen. Gunakan _Im_<schema>_<source> untuk pengurai bawaan dan vim<schema><source> untuk pengurai yang disebarkan ruang kerja. Misalnya, dalam buku kerja khusus Infoblox, gunakan pengurai khusus sumber _Im_Dns_InfobloxNIOS. Anda dapat menemukan daftar parser khusus sumber di daftar parser ASIM.
Tip
Sekumpulan pengurai yang sesuai yang menggunakan _ASim_<schema> dan ASim<Schema> juga tersedia. Pengurai ini tidak mendukung parameter pemfilteran dan disediakan untuk membantu mengurangi pemilih Waktu yang diatur ke masalah rentang kustom . Gunakan pengurai tersebut hanya secara interaktif di layar log, tetapi tidak di tempat lain, misalnya dalam aturan analitik atau buku kerja. Pengurai ini mungkin tidak dihapus ketika masalah diselesaikan.
Tip
Hirarki parser bawaan menambahkan lapisan untuk mendukung kustomisasi. Untuk informasi selengkapnya, lihat Mengelola parser ASIM.
Langkah berikutnya
Pelajari selengkapnya tentang parser ASIM:
Untuk informasi selengkapnya tentang ASIM, secara umum, lihat: