Advanced Security Information Model (ASIM) (パブリック プレビュー) の使用
Microsoft Sentinel のクエリでテーブル名の代わりに Advanced Security Information Model (ASIM) パーサーを使って、正規化された形式でデータを表示し、スキーマに関連するすべてのデータをクエリに含めます。 各スキーマに関連するパーサーを見つけるには、後の表を参照してください。
重要
現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
統一パーサー
クエリで ASIM を使うときは、統一パーサーを使用して、すべてのソースを結合し、同じスキーマに正規化し、正規化されたフィールドを使ってクエリを実行します。 統一パーサーの名前は、組み込まれたパーサーの場合は _Im_<schema>、ワークスペースにデプロイされたパーサーの場合は im<schema> です。<schema> は、それが提供する特定のスキーマを表します。
たとえば、次のクエリでは、組み込みの統一 DNS パーサーを使用し、ResponseCodeName、SrcIpAddr、TimeGenerated の正規化フィールドを使って DNS イベントを照会します。
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
この例では、ASIM のパフォーマンスを向上させる フィルター操作パラメーター を使用しています。 パラメーターをフィルター処理しない同じ例は次のようになります。
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Note
[ログ] ページで ASIM パーサーを使うとき、時間範囲セレクターは custom に設定されます。 時間の範囲は自分で設定できます。 または、パーサー パラメーターを使用して時間の範囲を指定します。
次の表に、利用可能な統一パーサーのリストを示します。
| スキーマ | パーサーの統一 |
|---|---|
| 監査イベント | _Im_AuditEvent |
| 認証 | imAuthentication |
| DNS | _Im_Dns |
| ファイル イベント | imFileEvent |
| ネットワーク セッション | _Im_NetworkSession |
| プロセス イベント | - imProcessCreate - imProcessTerminate |
| レジストリ イベント | imRegistry |
| Web セッション | _Im_WebSession |
パラメーターを使用した解析の最適化
パーサーを使用すると、主に解析後の結果のフィルター処理により、クエリのパフォーマンスに影響する可能性があります。 このため、多くのパーサーには省略可能なフィルター パラメーターが含まれています。これにより、解析前にフィルター処理を行い、クエリのパフォーマンスを向上させることができます。 クエリの最適化および事前フィルター処理と共に ASIM パーサーを使うと、多くの場合、正規化をまったく使わない場合と比べてパフォーマンスが向上します。
パーサーを呼び出すときは、ASIM パーサーの最適なパフォーマンスを確保するために、常に 1 つ以上の名前付きパラメーターを追加して、使用可能なフィルター パラメーターを使用します。
各スキーマにはフィルター パラメーターの標準セットがあり、関連するスキーマのドキュメントで説明されています。 フィルター パラメーターは完全に省略可能です。 次のスキーマでは、フィルター パラメーターがサポートされています。
パラメーターのフィルター処理をサポートするすべてのスキーマは、少なくとも starttime と endtime のパラメーターをサポートし、それらを使用することは、多くの場合、パフォーマンスを最適化するために重要です。
フィルター パーサーの使用例については、上記のパーサーの統合を参照してください。
pack パラメーター
効率性を確保するために、パーサーは正規化されたフィールドのみを保持します。 正規化されていないフィールドは、他のソースと組み合わせた場合の価値が低くなります。 一部のパーサーでは、pack パラメーターがサポートされています。 pack パラメーターが true に設定されている場合、パーサーは追加のデータを AdditionalFields 動的フィールドにパックします。
パーサーの一覧に関する記事では、pack パラメーターをサポートするパーサーについて説明しています。
次のステップ
ASIM パーサーの詳細については、次を参照してください。
ASIM 全般の詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) コンテンツ