ASIM 파서 사용
Microsoft Sentinel에서 구문 분석과 정규화는 쿼리 시간에 발생합니다. 파서는 CommonSecurityLog, 사용자 지정 로그 테이블 또는 Syslog와 같은 기존 테이블의 데이터를 정규화된 스키마로 변환하는 KQL 사용자 정의 함수로 빌드됩니다.
사용자는 쿼리에 테이블 이름 대신 ASIM(고급 보안 정보 모델) 파서를 사용하여 정규화된 형식으로 데이터를 살펴보고 스키마와 관련된 모든 데이터를 쿼리에 포함합니다.
기본 제공 ASIM 파서 및 작업 영역 배포 파서
많은 ASIM 파서가 기본 제공되며, 모든 Microsoft Sentinel 작업 영역에서 기본적으로 사용할 수 있습니다. ASIM은 ARM 템플릿을 사용하거나 수동으로 GitHub에서 특정 작업 영역으로 파서를 배포하는 기능도 지원합니다. 기본 제공 파서와 작업 영역 배포 파서는 기능이 동일하지만 명명 규칙이 약간 다르기 때문에 두 파서 집합이 동일한 Microsoft Sentinel 작업 영역에 함께 사용할 수 있습니다.
각 메서드에 다른 메서드 대비 장점이 있습니다.
| 비교 | 기본 제공 | 작업 영역 배포 |
|---|---|---|
| 장점 | 모든 Microsoft Sentinel 인스턴스에 있습니다. 다른 기본 제공 콘텐츠에서 사용할 수 있습니다. | 새 파서는 처음에 작업 영역 배포 파서로 제공되는 경우가 많습니다. |
| 단점 | 사용자가 직접 수정할 수 없습니다. 사용 가능한 파서 수가 더 적습니다. | 기본 제공 콘텐츠에서 사용되지 않습니다. |
| 사용 시기 | ASIM 파서가 필요한 대부분의 경우에서 사용합니다. | 새 파서를 배포할 때 또는 기본적으로 사용할 수 없는 파서를 위해 사용합니다. |
기본 제공 파서를 사용할 수 있는 스키마에는 기본 제공 파서를 사용하는 것이 좋습니다.
파서 계층 구조
ASIM에는 두 가지 수준의 파서인 통합 파서와 원본별 파서가 포함되어 있습니다. 사용자는 일반적으로 관련 스키마를 위해 통합 파서를 사용하여 스키마와 관련된 모든 데이터가 쿼리되도록 합니다. 통합 파서는 다시 원본별 파서를 호출하여 각 원본과 관련된 실제 구문 분석 및 정규화를 수행합니다.
통합 파서 이름은 기본 제공 파서의 경우 _Im_Schema이고 작업 영역 배포 파서의 경우 imSchema입니다. 여기서 Schema는 해당 스키마가 서비스를 제공하는 특정 스키마를 의미합니다. 원본 관련 파서는 독립적으로 사용할 수도 있습니다. 예를 들어 Infoblox 관련 통합 문서에서는 vimDnsInfobloxNIOS 원본 관련 파서를 사용합니다.
파서 통합
쿼리에 ASIM을 사용하는 경우 통합 파서를 사용하여 모든 원본을 결합하고 동일한 스키마로 정규화하고 정규화된 필드를 사용하여 쿼리합니다.
예를 들어 다음 쿼리는 기본 제공된 통합 DNS 파서를 사용하여 ResponseCodeName, SrcIpAddr 및 TimeGenerated 정규화된 필드를 사용하여 DNS 이벤트를 쿼리합니다.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
이 예에서는 ASIM 성능을 개선하는 필터링 매개 변수를 사용합니다. 필터링 매개 변수가 없는 동일한 예는 다음과 같습니다.
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
다음 표에는 사용 가능한 통합 파서가 나와 있습니다.
| 스키마 | 파서 통합 |
|---|---|
| 인증 | imAuthentication |
| Dns | _Im_Dns |
| 파일 이벤트 | imFileEvent |
| 네트워크 세션 | _Im_NetworkSession |
| 프로세스 이벤트 | imProcessCreate 및 imProcessTerminate |
| 레지스트리 이벤트 | imRegistry |
| 웹 세션 | _Im_WebSession |
매개 변수를 사용하여 구문 분석 최적화
구문 분석기를 사용하면 주로 구문 분석 후 결과를 필터링하여 쿼리 성능에 영향을 줄 수 있습니다. 이러한 이유로 많은 파서에는 선택적 필터링 매개 변수가 있어 구문 분석 전에 필터링하고 쿼리 성능을 향상시킬 수 있습니다. 쿼리 최적화 및 사전 필터링 활동으로 ASIM 파서는 정규화를 전혀 사용하지 않는 것과 비교할 때 종종 더 나은 성능을 제공합니다.
파서를 호출할 때 ASIM 파서의 최적 성능을 보장하기 위해 하나 이상의 명명된 매개 변수를 추가하여 항상 사용 가능한 필터링 매개 변수를 사용합니다.
각 스키마에는 관련 스키마 설명서에 설명서화된 필터링 매개 변수의 표준 집합이 있습니다. 필터링 매개 변수는 전적으로 선택 사항입니다. 다음 스키마는 필터링 매개 변수를 지원합니다.
- 인증
- DNS
- 네트워크 세션
- 웹 세션
필터링 매개 변수를 지원하는 모든 스키마는 최소한 starttime 및 enttime 매개 변수를 지원하며 이를 사용하는 것은 성능 최적화에 중요한 경우가 많습니다.