Einführung
Die Datennormalisierung in Microsoft Sentinel ermöglicht die Standardisierung von Daten über mehrere Datenquellen hinweg.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Sie verfügen über mehrere Connectors, die unstrukturierte Firewalldaten in die CommonSecurityLog-Tabelle schreiben. Sie müssen Sicherheitsanalysten ermöglichen, auf einfache Weise Analyseregelabfragen für die Firewalldaten zu schreiben. Sie müssen einen ASIM-Parser erstellen, um eine Tabelle bereitzustellen, für von Analysten abgefragt werden kann.
Am Ende des Moduls können Sie Bedrohungen in Ihrer Organisation mithilfe von ASIM-Parsern erkennen.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Verwenden von ASIM-Parsern
- Erstellen eines ASIM-Parsers
- Erstellen von parametrisierten KQL-Funktionen