Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcılarını yönetme (Genel önizleme)

Makale
04/11/2023

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) kullanıcıları, verileri normalleştirilmiş biçimde görüntülemek ve şemayla ilgili tüm verileri tek bir sorguda almak için sorgularında tablo adları yerine birleştirici ayrıştırıcılar kullanır. Her birleştirici ayrıştırıcı, her kaynağın belirli ayrıntılarını işleyen kaynağa özgü birden çok ayrıştırıcı kullanır.

Ayrıştırıcıların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.

Her birleştirici ayrıştırıcı tarafından kullanılan kaynağa özgü ayrıştırıcıları şu şekilde yönetmeniz gerekebilir:

Birleştirici ayrıştırıcıya özel, kaynağa özgü ayrıştırıcı ekleyin.
Birleştirici ayrıştırıcı tarafından kullanılan yerleşik, kaynağa özgü ayrıştırıcıyı özel, kaynağa özgü ayrıştırıcıyla değiştirin. Yerleşik ayrıştırıcıları değiştirmek istediğinizde:
- Birleştirici ayrıştırıcıda varsayılan olarak kullanılandan farklı bir yerleşik ayrıştırıcı sürümü kullanın.
- Birleştirici ayrıştırıcı tarafından kullanılan kaynağa özgü ayrıştırıcının sürümünü koruyarak otomatik güncelleştirmeleri önleyin.
- Yerleşik ayrıştırıcının değiştirilmiş bir sürümünü kullanın.
Örneğin, ayrıştırıcıyla ilgili bilgileri gönderen kaynakları tanımlamak için kaynağa özgü ayrıştırıcıyı yapılandırın.

Bu makale, yerleşik asim ayrıştırıcılarını veya çalışma alanı tarafından dağıtılan ayrıştırıcıları kullanarak ayrıştırıcılarınızı yönetme konusunda size yol gösterir.

Önemli

ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Önkoşullar

Bu makaledeki yordamlarda, kaynağa özgü tüm ayrıştırıcıların Microsoft Sentinel çalışma alanınıza zaten dağıtıldığı varsayılır.

Daha fazla bilgi için bkz . ASIM ayrıştırıcıları geliştirme.

Yerleşik birleştirici ayrıştırıcıları yönetme

Çalışma alanınızı ayarlama

Microsoft Sentinel kullanıcıları yerleşik birleştirici ayrıştırıcıları düzenleyemez. Bunun yerine, yerleşik birleştirici ayrıştırıcıların davranışını değiştirmek için aşağıdaki mekanizmaları kullanın:

Kaynağa özgü ayrıştırıcıların eklenmesini desteklemek için ASIM, birleştirici özel ayrıştırıcılar kullanır. Bu özel ayrıştırıcılar çalışma alanı tarafından dağıtılır ve bu nedenle düzenlenebilir. Yerleşik, birleştirici ayrıştırıcılar varsa bu özel ayrıştırıcıları otomatik olarak alır.

Microsoft Sentinel çalışma alanınıza tüm desteklenen şemalar için veya belirli şemalar için ayrı ayrı ilk, boş, birleştirici özel ayrıştırıcılar dağıtabilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel GitHub deposunda ilk ASIM boş özel birleştirme ayrıştırıcılarını dağıtma.
ASIM, yerleşik kaynağa özgü ayrıştırıcıların dışlanmasını desteklemek için bir izleme listesi kullanır. İzleme listesini Microsoft Sentinel GitHub deposundan Microsoft Sentinel çalışma alanınıza dağıtın.
AsIM, yerleşik ve özel ayrıştırıcılar için kaynak türünü tanımlamak için bir izleme listesi kullanır. İzleme listesini Microsoft Sentinel GitHub deposundan Microsoft Sentinel çalışma alanınıza dağıtın.

Yerleşik birleştirici ayrıştırıcıya özel ayrıştırıcı ekleme

Özel ayrıştırıcı eklemek için, özel birleştirici ayrıştırıcıya yeni, özel ayrıştırıcıya başvurmak üzere bir satır ekleyin.

Hem filtreleme özel ayrıştırıcısı hem de parametresiz özel ayrıştırıcı eklediğinizden emin olun. Ayrıştırıcıları düzenleme hakkında daha fazla bilgi edinmek için Azure İzleyici günlük sorgularındaki İşlevler belgesine bakın.

Eklenecek satırın söz dizimi her şema için farklıdır:

Şema	Ayrıştırıcı	Eklenecek satır
DNS	`Im_DnsCustom`	`_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)`
NetworkSession	`Im_NetworkSessionCustom`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)`
WebSession	`Im_WebSessionCustom`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)`

Ayrıştırıcılara zaten başvuran birleştirici özel ayrıştırıcıya ek ayrıştırıcı eklerken, önceki satırın sonuna virgül eklediğinizden emin olun.

Örneğin, aşağıdaki kod, eklendikten sonra özel birleştirici ayrıştırıcıyı added_parsergösterir:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Yerleşik ayrıştırıcının değiştirilmiş sürümünü kullanma

Var olan, yerleşik kaynağa özgü ayrıştırıcıyı değiştirmek için:

Özgün ayrıştırıcıyı temel alan bir özel ayrıştırıcı oluşturun ve bunu yerleşik ayrıştırıcıya ekleyin .
İzleme listesine bir kayıt ASim Disabled Parsers ekleyin.
CallerContext değerini olarak Exclude<parser name>tanımlayın; burada <parser name> ayrıştırıcıyı dışlamak istediğiniz birleştirici ayrıştırıcıların adıdır.
SourceSpecificParser değerini Exclude<parser name>tanımlayın; burada<parser name>, sürüm belirticisi olmadan dışlamak istediğiniz ayrıştırıcının adıdır.

Örneğin, Azure Güvenlik Duvarı DNS ayrıştırıcısını dışlamak için izleme listesine aşağıdaki kaydı ekleyin:

CallerContext	SourceSpecificParser
`Exclude_Im_Dns`	`Exclude_Im_Dns_AzureFirewall`

Yerleşik ayrıştırıcının otomatik güncelleştirmesini engelleme

Yerleşik, kaynağa özgü ayrıştırıcılar için otomatik güncelleştirmeleri önlemek için aşağıdaki işlemi kullanın:

Kullanmak istediğiniz yerleşik ayrıştırıcı sürümünü ( gibi _Im_Dns_AzureFirewallV02) özel birleştirici ayrıştırıcıya ekleyin. Daha fazla bilgi için yukarıdaki Yerleşik birleştirici ayrıştırıcıya özel ayrıştırıcı ekleme bölümüne bakın.
Yerleşik ayrıştırıcı için bir özel durum ekleyin. Örneğin, otomatik güncelleştirmeleri tamamen geri çevirmek ve bu nedenle çok sayıda yerleşik ayrıştırıcıyı dışlamak istediğinizde şunları ekleyin:

için tüm ayrıştırıcıları dışlamak için, alanı olarak SourceSpecificParser içeren Any bir CallerContextkayıt.
CallerContext içindeki için bir kayıt Any ve SourceSpecificParser tüm yerleşik ayrıştırıcıları dışlamak için alanlar.

Daha fazla bilgi için bkz . Yerleşik ayrıştırıcının değiştirilmiş sürümünü kullanma.

Çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıları yönetme

Çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıya özel ayrıştırıcı ekleme

Özel ayrıştırıcı eklemek için çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıda deyimine union yeni özel ayrıştırıcıya başvuran bir satır ekleyin.

Hem filtreleme özel ayrıştırıcısı hem de parametresiz özel ayrıştırıcı eklediğinizden emin olun. Eklenecek satırın söz dizimi her şema için farklıdır:

Şema	Ayrıştırıcı	Eklenecek satır
Kimlik Doğrulaması	`ImAuthentication`	`_parser_name_ (starttime, endtime, targetusername_has)`
DNS	`ImDns`	`_parser_name_ (starttime, endtime, srcipaddr, domain_has_any,` `responsecodename, response_has_ipv4, response_has_any_prefix,` `eventtype)`
Dosya Olayı	`imFileEvent`	`_parser_name_`
Ağ Oturumu	`imNetworkSession`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any,` `httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)`
İşlem Olayı	- `imProcess` - `imProcessCreate` - `imProcessTerminate`	`_parser_name_`
Kayıt Defteri Olayı	`imRegistry`	`_parser_name_`
Web Oturumu	`imWebSession`	`_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)`

Birleştirici ayrıştırıcıya ek ayrıştırıcı eklerken, önceki satırın sonuna virgül eklediğinizden emin olun.

Örneğin, aşağıdaki örnekte, özel added_parsereklendikten sonra DNS filtrelemeyi birleştiren ayrıştırıcı gösterilmektedir:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Çalışma alanı tarafından dağıtılan ayrıştırıcının değiştirilmiş sürümünü kullanma

Microsoft Sentinel kullanıcıları, çalışma alanı tarafından dağıtılan ayrıştırıcıları doğrudan değiştirebilir. Özgün ayrıştırıcıyı temel alan bir ayrıştırıcı oluşturun, özgün sürümü açıklama satırı yapın ve değiştirilen sürümünüzü çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıya ekleyin.

Örneğin, aşağıdaki kod, ayrıştırıcıyı değiştirilmiş bir sürümle değiştirerek birleştiren bir DNS filtreleme ayrıştırıcısını vimDnsAzureFirewall gösterir:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Kaynağa özgü ayrıştırıcıyla ilgili kaynakları yapılandırma

Bazı ayrıştırıcılar, ayrıştırıcıyla ilgili kaynakların listesini güncelleştirmenizi gerektirir. Örneğin, Syslog verilerini kullanan bir ayrıştırıcı, hangi Syslog olaylarının ayrıştırıcıyla ilgili olduğunu belirleyemeyebilir. Böyle bir ayrıştırıcı, hangi kaynakların ayrıştırıcıyla ilgili bilgiler gönderdiğini belirlemek için izleme listesini kullanabilir Sources_by_SourceType . Bu tür ayrıştırmalar için izleme listesine ilgili her kaynak için bir kayıt ekleyin:

SourceType Alanı ayrıştırıcı belgelerinde belirtilen ayrıştırıcıya özgü değer olarak ayarlayın.
Source Alanı, olaylarda kullanılan kaynağın tanımlayıcısı olarak ayarlayın. Doğru değeri belirlemek için Syslog gibi özgün tabloyu sorgulamanız gerekebilir.

Sisteminizde izleme listesi dağıtılmamışsa Sources_by_SourceType izleme listesini Microsoft Sentinel GitHub deposundan Microsoft Sentinel çalışma alanınıza dağıtın.

Sonraki adımlar

Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarının yönetimi ele alınmaktadır.

ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:

ASIM hakkında genel olarak daha fazla bilgi edinin:

Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği

Aracılığıyla paylaş