Gunakan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)

Pengguna Model Informasi Keamanan Tingkat Lanjut (ASIM) menggunakan pengurai pemersatu bukan nama tabel dalam kueri mereka, untuk melihat data dalam format yang dinormalisasi dan untuk memasukkan semua data yang relevan dengan skema dalam kueri. Setiap pengurai pemersatu menggunakan beberapa pengurai khusus sumber yang menangani detail spesifik setiap sumber.

Untuk memahami bagaimana parser cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.

Anda mungkin perlu mengelola pengurai khusus sumber yang digunakan oleh setiap pengurai pemersatu untuk:

• Menambahkan pengurai khusus sumber ke pengurai pemersatu.

• Mengganti pengurai khusus sumber bawaan yang digunakan oleh pengurai pemersatu dengan pengurai khusus sumber kustom. Mengganti pengurai bawaan saat Anda ingin:

  • Menggunakan versi pengurai bawaan selain yang digunakan secara default di pengurai pemersatu.

  • Mencegah pembaruan otomatis dengan mempertahankan versi pengurai khusus sumber yang digunakan oleh pengurai pemersatu.

  • Menggunakan versi modifikasi dari pengurai bawaan.

• Mengonfigurasikan pengurai khusus sumber, misalnya untuk menentukan sumber yang mengirim informasi yang relevan dengan pengurai.

Artikel ini memandu Anda mengelola pengurai Anda, baik menggunakan pengurai ASIM bawaan, pemersatu, atau pengurai pemersatu yang disebarkan di ruang kerja.

Prasyarat

Prosedur dalam artikel ini mengasumsikan bahwa semua pengurai khusus sumber telah disebarkan ke ruang kerja Microsoft Sentinel Anda.

Untuk informasi selengkapnya, lihat Mengembangkan pengurai ASIM.

Mengelola pengurai pemersatu bawaan

Menyiapkan ruang kerja Anda

Pengguna Microsoft Sentinel tidak dapat mengedit pengurai pemersatu bawaan. Sebagai gantinya, gunakan mekanisme berikut untuk memodifikasi perilaku pengurai pemersatu bawaan:

• Untuk mendukung penambahan pengurai khusus sumber, ASIM menggunakan pengurai kustom pemersatu. Pengurai kustom ini disebarkan di ruang kerja, dan karenanya dapat diedit. Pengurai pemersatu bawaan secara otomatis mengambil pengurai kustom ini, jika ada.

  Anda dapat menyebarkan pengurai kustom awal, kosong, pemersatu ke ruang kerja Microsoft Sentinel Anda untuk semua skema yang didukung, atau satu per satu untuk skema tertentu. Untuk informasi selengkapnya, lihat Menyebarkan pengurai pemersatu kustom kosong ASIM awal di repositori GitHub Microsoft Sentinel.

• Untuk mendukung pengecualian pengurai khusus sumber bawaan, ASIM menggunakan daftar pantauan. Sebarkan daftar pantauan ke ruang kerja Microsoft Sentinel Anda dari repositori GitHub Microsoft Sentinel.

• Untuk menentukan jenis sumber untuk pengurai bawaan dan kustom, ASIM menggunakan daftar pantauan. Sebarkan daftar pantauan ke ruang kerja Microsoft Sentinel Anda dari repositori GitHub Microsoft Sentinel.

Menambahkan pengurai kustom ke pengurai pemersatu bawaan

Untuk menambahkan pengurai kustom, sisipkan garis ke pengurai pemersatu kustom untuk mereferensikan pengurai kustom yang baru.

Pastikan untuk menambahkan pengurai kustom pemfilteran dan pengurai kustom tanpa parameter. Untuk mempelajari selengkapnya tentang cara mengedit pengurai, lihat Fungsi dokumen dalam kueri log Azure Monitor.

Sintaks baris yang akan ditambahkan berbeda untuk setiap skema:

Saat menambahkan pengurai tambahan ke pengurai kustom pemersatu yang sudah mereferensikan pengurai, pastikan Anda menambahkan koma di akhir baris sebelumnya.

Misalnya, kode berikut menunjukkan pengurai pemersatu kustom setelah menambahkan added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Menggunakan versi modifikasi dari pengurai bawaan

Untuk memodifikasi pengurai khusus sumber bawaan yang ada:

1. Buat pengurai kustom berdasarkan pengurai asli dan tambahkan ke pengurai bawaan.

2. Menambahkan catatan ke daftar pantauan ASim Disabled Parsers.

3. Tentukan CallerContextnilai sebagai Exclude<parser name>, yang <parser name> merupakan nama pengurai pemersatu yang ingin Anda kecualikan pengurainya.

4. Tentukan SourceSpecificParser nilai Exclude<parser name>, yang <parser name>merupakan nama pengurai yang ingin Anda kecualikan, tanpa penentu versi.

Misalnya, untuk mengecualikan pengurai Azure Firewall DNS, tambahkan catatan berikut ke daftar pantauan:

Mencegah pembaruan otomatis pengurai bawaan

Gunakan proses berikut untuk mencegah pembaruan otomatis untuk pengurai khusus sumber bawaan:

1. Tambahkan versi pengurai bawaan yang ingin Anda gunakan, seperti _Im_Dns_AzureFirewallV02, ke pengurai pemersatu kustom. Untuk informasi selengkapnya, lihat di atas, Tambahkan pengurai kustom ke pengurai pemersatu bawaan.

2. Tambahkan pengecualian untuk pengurai bawaan. Misalnya, ketika Anda ingin sepenuhnya memilih keluar dari pembaruan otomatis, dan karena itu mengecualikan sejumlah besar pengurai bawaan, tambahkan:

• Catatan dengan Any sebagai SourceSpecificParser bidang, untuk mengecualikan semua pengurai untuk CallerContext.
• Catatan untuk Any di CallerContext dan SourceSpecificParser bidang untuk mengecualikan semua pengurai bawaan.

Untuk informasi selengkapnya, lihat Menggunakan versi pengurai bawaan yang dimodifikasi.

Mengelola pengurai pemersatu yang disebarkan di ruang kerja

Menambahkan pengurai kustom ke pengurai pemersatu yang disebarkan di ruang kerja

Untuk menambahkan pengurai kustom, masukkan baris ke union pernyataan di pengurai pemersatu yang disebarkan di ruang kerja yang mereferensikan pengurai kustom baru.

Pastikan untuk menambahkan pengurai kustom pemfilteran dan pengurai kustom tanpa parameter. Sintaks baris yang akan ditambahkan berbeda untuk setiap skema:

Saat menambahkan pengurai tambahan ke pengurai pemersatu, pastikan Anda menambahkan koma di akhir baris sebelumnya.

Misalnya, contoh berikut menunjukkan pengurai pemersatu pemfilteran DNS, setelah menambahkan pengurai pemersatu kustom added_parser:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Menggunakan versi modifikasi dari pengurai yang disebarkan di ruang kerja

Pengguna Microsoft Sentinel dapat langsung memodifikasi pengurai yang disebarkan di ruang kerja. Membuat pengurai berdasarkan aslinya, komentarkan yang asli, lalu menambahkan versi modifikasi Anda ke pengurai pemersatu yang disebarkan di ruang kerja.

Misalnya, kode berikut menunjukkan pengurai pemersatu pemfilteran DNS, setelah mengganti vimDnsAzureFirewall pengurai dengan versi yang dimodifikasi:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Mengonfigurasi sumber yang relevan dengan pengurai khusus sumber

Beberapa pengurai mengharuskan Anda untuk memperbarui daftar sumber yang relevan dengan pengurai. Misalnya, pengurai yang menggunakan data Syslog, mungkin tidak dapat menentukan peristiwa Syslog apa yang relevan dengan pengurai. Pengurai tersebut dapat menggunakan daftar tonton Sources_by_SourceType untuk menentukan sumber mana yang mengirimkan informasi yang relevan dengan pengurai. Untuk penguraian tersebut tambahkan catatan untuk setiap sumber yang relevan ke daftar pantauan:

• Atur bidang SourceType ke nilai spesifik pengurai yang ditentukan dalam dokumentasi pengurai.
• Atur bidang Source ke pengidentifikasi sumber yang digunakan dalam peristiwa. Anda mungkin perlu meminta tabel asli, seperti Syslog, untuk menentukan nilai yang benar.

Jika sistem Anda tidak memiliki Sources_by_SourceType daftar pengawasan yang disebarkan, sebarkan daftar pengawasan ke ruang kerja Microsoft Azure Sentinel Anda dari repositori GitHub Microsoft Sentinel.

Langkah berikutnya

Artikel ini membahas pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM).

Pelajari selengkapnya tentang parser ASIM:

• Gambaran umum pengurai ASIM
• Gunakan parser ASIM
• Mengembangkan parser ASIM kustom
• Daftar parser ASIM

Pelajari selengkapnya tentang ASIM secara umum:

• Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
• Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Konten Model Informasi Keamanan Tingkat Lanjut (ASIM)