Microsoft Sentinel クエリのテーブル名ではなく高度なセキュリティ情報モデル (ASIM) パーサーを使用して、正規化された形式でデータを表示し、スキーマに関連するすべてのデータをクエリに含めます。 各スキーマに関連するパーサーを見つけるには、次の表を参照してください。
パーサーの統合
クエリで ASIM を使用する場合は、 統合パーサーを 使用して、すべてのソースを結合し、同じスキーマに正規化し、正規化されたフィールドを使用してクエリを実行します。 統一パーサー名は _Im_<schema>され、 <schema> は提供する特定のスキーマを表します。
たとえば、次のクエリでは、組み込みの統合 DNS パーサーを使用して、正規化されたフィールド、 ResponseCodeName、 SrcIpAddr、 TimeGenerated を使用して DNS イベントにクエリを実行します。
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
この例では 、ASIM のパフォーマンスを向上させるフィルター 処理パラメーターを使用します。 パラメーターをフィルター処理しない同じ例は、次のようになります。
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
次の表に、使用可能な統合パーサーの一覧を示します。
| Schema | パーサーの統合 |
|---|---|
| アラート イベント | _Im_AlertEvent |
| Asset Entity | _Im_AssetEntity |
| 監査イベント | _Im_AuditEvent |
| 認証 | _Im_Authentication |
| DHCP イベント | _Im_DhcpEvent |
| Dns | _Im_Dns |
| ファイル イベント | _Im_FileEvent |
| ネットワーク セッション | _Im_NetworkSession |
| プロセス イベント | _Im_ProcessCreate _Im_ProcessTerminate |
| レジストリ イベント | _Im_RegistryEvent |
| User Management | _Im_UserManagement |
| Web セッション | _Im_WebSession |
パラメーターを使用した解析の最適化
パーサーを使用すると、主に解析後の結果のフィルター処理から、クエリのパフォーマンスに影響する可能性があります。 このため、多くのパーサーにはオプションのフィルター パラメーターがあり、これにより、クエリのパフォーマンスを解析および向上させる前にフィルター処理できます。 クエリの最適化と事前フィルター処理の作業では、正規化をまったく使用しない場合と比較して、ASIM パーサーのパフォーマンスが向上することがよくあります。
パーサーを呼び出すときは、常に、ASIM パーサーの最適なパフォーマンスを確保するために、1 つ以上の名前付きパラメーターを追加して、使用可能なフィルター パラメーターを使用します。
各スキーマには、関連するスキーマ ドキュメントに記載されているフィルター 処理パラメーターの標準セットがあります。 フィルター パラメーターは完全に省略可能です。
フィルター パーサーの使用例については、「パーサーの 統合」を参照してください。
pack パラメーター
効率を確保するために、パーサーは正規化されたフィールドのみを保持します。 正規化されていないフィールドは、他のソースと組み合わせた場合の値が少なくなります。 一部のパーサーでは、 pack パラメーターがサポートされています。
pack パラメーターが true に設定されている場合、パーサーは追加データを AdditionalFields 動的フィールドにパックします。
パーサーは、pack パラメーターをサポートする記事ノート パーサーを一覧表示します。
関連コンテンツ
詳細については、以下を参照してください: