Microsoft Sentinelでは、解析と正規化はクエリ時に行われます。 パーサーは、CommonSecurityLog、カスタム ログ テーブル、Syslog などの既存のテーブルのデータを正規化されたスキーマに変換する KQL ユーザー定義関数として構築されています。
ユーザーは、クエリでテーブル名ではなく 高度なセキュリティ情報モデル (ASIM) パーサーを使用 して、正規化された形式でデータを表示し、スキーマに関連するすべてのデータをクエリに含めます。
パーサーが ASIM アーキテクチャにどのように適合するかを理解するには、 ASIM アーキテクチャの図を参照してください。
組み込みの ASIM パーサーとワークスペースにデプロイされたパーサー
ASIM パーサーは組み込まれており、すべてのMicrosoft Sentinel ワークスペースですぐに使用できます。
また、ASIM では、ARM テンプレートを使用して GitHub から特定のワークスペースにパーサーをデプロイすることもできます。 ワークスペースにデプロイされたパーサーは、ASIM パーサーの開発と管理に使用されます。 ワークスペースでデプロイされたパーサーは機能的には同等ですが、名前付け規則が若干異なります。これにより、両方のパーサー セットが同じMicrosoft Sentinel ワークスペース内の組み込みパーサーと共存できます。 展開、使用、および管理するための ワークスペースにデプロイされたパーサー の詳細を参照してください。
ASIM コンテンツを開発するときは、組み込みのパーサーを使用することをお勧めします。 ワークスペースにデプロイされたパーサーは、通常、パーサー開発プロセス中に使用されるか、「パーサーの管理」で説明されているように、組み込みパーサーの変更されたバージョンを提供するために使用されます。
パーサー階層と名前付け
ASIM には、パーサーとソース固有のパーサーの統合という 2 つのレベルのパーサーが含まれています。 ユーザーは通常、関連するスキーマに 統合パーサーを 使用し、スキーマに関連するすべてのデータがクエリされるようにします。 統合パーサーは、ソース固有のパーサーを呼び出して、ソースごとに固有の実際の解析と正規化を実行します。
統一パーサー名は、<schema>が提供する特定のスキーマを表す_Im_<schema>です。 ソース固有のパーサーは、個別に使用することもできます。 名前付け規則は _Im_<schema>_<source>V<version>。 ソース固有のパーサーの一覧は、 ASIM パーサーの一覧にあります。
注:
_ASim_<schema>を使用する対応するパーサーのセット。 これらのパーサーはパラメーターのフィルター処理をサポートしていないため、下位互換性のために提供されます。
ヒント
パーサー階層は、カスタマイズをサポートするレイヤーを追加します。 詳細については、「 ASIM パーサーの管理」を参照してください。
次の手順
ASIM パーサーの詳細については、以下を参照してください。
ASIM の詳細については、一般的に次を参照してください。