Usare parser ASIM
In Microsoft Sentinel l'analisi e la normalizzazione avvengono in fase di query. I parser vengono compilati come funzioni definite dall'utente KQL che trasformano i dati in tabelle esistenti, ad esempio CommonSecurityLog, tabelle di log personalizzate o Syslog, nello schema normalizzato.
Gli utenti usano parser ASIM (Advanced Security Information Model) anziché nomi di tabella nelle query per visualizzare i dati in un formato normalizzato e includere tutti i dati rilevanti per lo schema nella query.
Parser ASIM predefiniti e parser distribuiti nell'area di lavoro
Molti parser ASIM sono integrati e sono disponibili per impostazione predefinita in ogni area di lavoro di Microsoft Sentinel. ASIM supporta anche la distribuzione di parser in aree di lavoro specifiche da GitHub, usando un modello di ARM o manualmente. Sia i parser predefiniti che i parser distribuiti nell'area di lavoro sono equivalenti a livello funzionale, ma hanno convenzioni di denominazione leggermente diverse, consentendo la coesistenza di entrambi i set di parser nella stessa area di lavoro di Microsoft Sentinel.
Ogni metodo presenta alcuni vantaggi rispetto all'altro:
| Confronta | Predefinito | Distribuzione in area di lavoro |
|---|---|---|
| Vantaggi | Disponibilità in ogni istanza di Microsoft Sentinel. Utilizzabile con altri contenuti predefiniti. | I nuovi parser vengono spesso resi disponibili prima di tutto come parser distribuiti nell'area di lavoro. |
| Svantaggi | Non possono essere modificati direttamente dagli utenti. Meno parser disponibili. | Non usati dal contenuto predefinito. |
| Quando utilizzare | Usare nella maggior parte dei casi in cui sono necessari parser ASIM. | Usare quando si distribuiscono nuovi parser o per i parser non ancora disponibili come predefiniti. |
È consigliabile usare parser predefiniti per gli schemi per i quali sono disponibili.
Gerarchia dei parser
ASIM include due livelli di parser: parser di unificazione e parser specifici dell'origine. L'utente usa in genere il parser di unificazione per lo schema pertinente, assicurando che le query vengano eseguite su tutti i dati rilevanti per lo schema. Il parser di unificazione chiama a sua volta parser specifici dell'origine per eseguire l'analisi e la normalizzazione effettive, specifiche per ogni origine.
Il nome del parser di unificazione è _Im_Schema per i parser predefiniti e imSchema per i parser distribuiti nell'area di lavoro. Dove Schema indica lo schema specifico di destinazione. I parser specifici dell'origine possono anche essere usati in modo indipendente. Ad esempio, in una cartella di lavoro specifica di Infoblox, usare il parser specifico dell'origine vimDnsInfobloxNIOS.
Parser di unificazione
Quando si usa ASIM nelle query, usare i parser di unificazione per combinare tutte le origini, normalizzate in base allo stesso schema ed eseguire query su tali origini usando campi normalizzati.
Ad esempio, la query seguente usa il parser DNS di unificazione predefinito per eseguire query sugli eventi DNS usando i campi normalizzati ResponseCodeName, SrcIpAddr e TimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Nell'esempio vengono usati i parametri di filtro, che migliorano le prestazioni di ASIM. Lo stesso esempio senza i parametri di filtro sarebbe simile al seguente:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Nella tabella riportata di seguito sono elencati i parser di unificazione disponibili:
| Schema | Parser di unificazione |
|---|---|
| Autenticazione | imAuthentication |
| DNS | _Im_Dns |
| Evento File | imFileEvent |
| Sessione di rete | _Im_NetworkSession |
| Evento Processo | imProcessCreate e imProcessTerminate |
| Evento Registro di sistema | imRegistry |
| Sessione Web | _Im_WebSession |
Ottimizzazione dell'analisi tramite parametri
L'uso dei parser può influire sulle prestazioni delle query, principalmente in seguito all'applicazione di filtri ai risultati dopo l'analisi. Per questo motivo, molti parser hanno parametri di filtro facoltativi, che consentono di filtrare prima dell'analisi e migliorare le prestazioni delle query. Con l'ottimizzazione delle query e le funzionalità di pre-filtro, i parser ASIM offrono spesso prestazioni migliori rispetto a quando non si usa affatto la normalizzazione.
Quando si richiama il parser, usare sempre i parametri di filtro disponibili aggiungendo uno o più parametri denominati per garantire prestazioni ottimali dei parser ASIM.
Ogni schema ha un set standard di parametri di filtro documentati nella documentazione dello schema pertinente. I parametri di filtro sono completamente facoltativi. Gli schemi seguenti supportano i parametri di filtro:
- Autenticazione
- DNS
- Sessione di rete
- Sessione Web
Ogni schema che supporta i parametri di filtro supporta almeno i parametri starttime ed endtime e l'uso di tali parametri è spesso fondamentale per ottimizzare le prestazioni.