Advanced Security Information Model (ASIM) (パブリック プレビュー) の使用

Microsoft Sentinel のクエリでテーブル名の代わりに Advanced Security Information Model (ASIM) パーサーを使って、正規化された形式でデータを表示し、スキーマに関連するすべてのデータをクエリに含めます。 各スキーマに関連するパーサーを見つけるには、後の表を参照してください。

重要

現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

統一パーサー

クエリで ASIM を使うときは、統一パーサーを使用して、すべてのソースを結合し、同じスキーマに正規化し、正規化されたフィールドを使ってクエリを実行します。 統一パーサーの名前は、組み込まれたパーサーの場合は _Im_<schema>、ワークスペースにデプロイされたパーサーの場合は im<schema> です。<schema> は、それが提供する特定のスキーマを表します。

たとえば、次のクエリでは、組み込みの統一 DNS パーサーを使用し、ResponseCodeName、SrcIpAddr、TimeGenerated の正規化フィールドを使って DNS イベントを照会します。

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

この例では、ASIM のパフォーマンスを向上させる フィルター操作パラメーター を使用しています。 パラメーターをフィルター処理しない同じ例は次のようになります。

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Note

[ログ] ページで ASIM パーサーを使うとき、時間範囲セレクターは custom に設定されます。 時間の範囲は自分で設定できます。 または、パーサー パラメーターを使用して時間の範囲を指定します。

次の表に、利用可能な統一パーサーのリストを示します。

スキーマ	パーサーの統一
監査イベント	_Im_AuditEvent
認証	imAuthentication
DNS	_Im_Dns
ファイル イベント	imFileEvent
ネットワーク セッション	_Im_NetworkSession
プロセス イベント	- imProcessCreate - imProcessTerminate
レジストリ イベント	imRegistry
Web セッション	_Im_WebSession

パラメーターを使用した解析の最適化

パーサーを使用すると、主に解析後の結果のフィルター処理により、クエリのパフォーマンスに影響する可能性があります。 このため、多くのパーサーには省略可能なフィルター パラメーターが含まれています。これにより、解析前にフィルター処理を行い、クエリのパフォーマンスを向上させることができます。 クエリの最適化および事前フィルター処理と共に ASIM パーサーを使うと、多くの場合、正規化をまったく使わない場合と比べてパフォーマンスが向上します。

パーサーを呼び出すときは、ASIM パーサーの最適なパフォーマンスを確保するために、常に 1 つ以上の名前付きパラメーターを追加して、使用可能なフィルター パラメーターを使用します。

各スキーマにはフィルター パラメーターの標準セットがあり、関連するスキーマのドキュメントで説明されています。 フィルター パラメーターは完全に省略可能です。 次のスキーマでは、フィルター パラメーターがサポートされています。

• 監査イベント
• 認証
• DNS
• ネットワーク セッション
• Web セッション

パラメーターのフィルター処理をサポートするすべてのスキーマは、少なくとも starttime と endtime のパラメーターをサポートし、それらを使用することは、多くの場合、パフォーマンスを最適化するために重要です。

フィルター パーサーの使用例については、上記のパーサーの統合を参照してください。

pack パラメーター

効率性を確保するために、パーサーは正規化されたフィールドのみを保持します。 正規化されていないフィールドは、他のソースと組み合わせた場合の価値が低くなります。 一部のパーサーでは、pack パラメーターがサポートされています。 pack パラメーターが true に設定されている場合、パーサーは追加のデータを AdditionalFields 動的フィールドにパックします。

パーサーの一覧に関する記事では、pack パラメーターをサポートするパーサーについて説明しています。

次のステップ

ASIM パーサーの詳細については、次を参照してください。

• ASIM パーサーの概要
• ASIM パーサーを管理する
• カスタム ASIM パーサーを開発する
• ASIM パーサーのリスト

ASIM 全般の詳細については、次を参照してください。

• Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
• Advanced Security Information Model (ASIM) の概要
• Advanced Security Information Model (ASIM) スキーマ
• Advanced Security Information Model (ASIM) コンテンツ