ASIM(고급 보안 정보 모델) 사용(공개 미리 보기)
Microsoft Sentinel 쿼리에서 테이블 이름 대신 ASIM(고급 보안 정보 모델) 파서를 사용하여 데이터를 정규화된 형식으로 보고 스키마와 관련된 모든 데이터를 쿼리에 포함합니다. 각 스키마에 대한 관련 파서를 찾으려면 아래 표를 참조하세요.
Important
ASIM은 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
파서 통합
쿼리에 ASIM을 사용하는 경우 파서 통합을 사용하여 모든 원본을 결합하고 동일한 스키마로 정규화하고 정규화된 필드를 사용하여 쿼리합니다. 통합 구문 분석기 이름은 기본 제공 구문 분석기의 경우 _Im_<schema>
이고 작업 영역 배포 구문 분석기의 경우 im<schema>
입니다. 여기서 <schema>
는 제공하는 특정 스키마를 나타냅니다.
예를 들어 다음 쿼리는 기본 제공된 통합 DNS 파서를 사용하여 ResponseCodeName
, SrcIpAddr
및 TimeGenerated
정규화된 필드를 사용하여 DNS 이벤트를 쿼리합니다.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
이 예에서는 ASIM 성능을 개선하는 필터링 매개 변수를 사용합니다. 필터링 매개 변수가 없는 동일한 예는 다음과 같습니다.
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
참고 항목
로그 페이지에서 ASIM 파서를 사용할 때 시간 범위 선택기는 custom
으로 설정됩니다. 여전히 시간 범위를 직접 설정할 수 있습니다. 또는 파서 매개 변수를 사용하여 시간 범위를 지정합니다.
다음 표에는 사용 가능한 통합 파서가 나와 있습니다.
스키마 | 파서 통합 |
---|---|
감사 이벤트 | _Im_AuditEvent |
인증 | imAuthentication |
Dns | _Im_Dns |
파일 이벤트 | imFileEvent |
네트워크 세션 | _Im_NetworkSession |
프로세스 이벤트 | - imProcessCreate - imProcessTerminate |
레지스트리 이벤트 | imRegistry |
웹 세션 | _Im_WebSession |
매개 변수를 사용하여 구문 분석 최적화
구문 분석기를 사용하면 주로 구문 분석 후 결과를 필터링하여 쿼리 성능에 영향을 줄 수 있습니다. 이러한 이유로 많은 파서에는 선택적 필터링 매개 변수가 있어 구문 분석 전에 필터링하고 쿼리 성능을 향상시킬 수 있습니다. 쿼리 최적화 및 사전 필터링 활동으로 ASIM 파서는 정규화를 전혀 사용하지 않는 것과 비교할 때 종종 더 나은 성능을 제공합니다.
파서를 호출할 때 ASIM 파서의 최적 성능을 보장하기 위해 하나 이상의 명명된 매개 변수를 추가하여 항상 사용 가능한 필터링 매개 변수를 사용합니다.
각 스키마에는 관련 스키마 설명서에 설명서화된 필터링 매개 변수의 표준 집합이 있습니다. 필터링 매개 변수는 전적으로 선택 사항입니다. 다음 스키마는 필터링 매개 변수를 지원합니다.
필터링 매개 변수를 지원하는 모든 스키마는 최소한 starttime
및 endtime
매개 변수를 지원하며 이를 사용하는 것은 성능 최적화에 중요한 경우가 많습니다.
필터링 파서를 사용하는 예는 위의 파서 통합을 참조하세요.
pack 매개 변수
효율성을 보장하기 위해 파서는 정규화된 필드만 유지 관리합니다. 정규화되지 않은 필드는 다른 원본과 결합할 때 값이 줄어듭니다. 일부 파서는 pack 매개 변수를 지원합니다. pack 매개 변수가 true
로 설정되면 파서는 추가 데이터를 AdditionalFields 동적 필드에 압축합니다.
파서 목록 문서에서는 pack 매개 변수를 지원하는 파서에 대해 설명합니다.
다음 단계
ASIM 파서에 대해 자세히 알아보기:
일반적으로 ASIM에 대해 자세히 알아봅니다.