Microsoft Sentinel 쿼리의 테이블 이름 대신 ASIM(고급 보안 정보 모델) 파서를 사용하여 정규화된 형식으로 데이터를 보고 쿼리에 스키마와 관련된 모든 데이터를 포함합니다. 각 스키마에 대한 관련 파서는 아래 표를 참조하세요.
파서 통합
쿼리에서 ASIM을 사용하는 경우 통합 파서를 사용하여 동일한 스키마로 정규화된 모든 원본을 결합하고 정규화된 필드를 사용하여 쿼리합니다. 통합 파서 이름은 입니다 _Im_<schema>. 여기서 <schema> 는 해당 이름이 제공하는 특정 스키마를 나타냅니다.
예를 들어 다음 쿼리는 기본 제공 통합 DNS 파서 를 사용하여 , SrcIpAddr및 TimeGenerated 정규화된 필드를 사용하여 ResponseCodeNameDNS 이벤트를 쿼리합니다.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
이 예제에서는 필터링 매개 변수를 사용하여 ASIM 성능을 향상시킵니다. 매개 변수를 필터링하지 않는 동일한 예제는 다음과 같습니다.
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
다음 표에는 사용 가능한 통합 파서가 나와 있습니다.
| 스키마 | 파서 통합 |
|---|---|
| 경고 이벤트 | _Im_AlertEvent |
| 자산 엔터티 | _Im_AssetEntity |
| 감사 이벤트 | _Im_AuditEvent |
| 인증 | _Im_Authentication |
| DHCP 이벤트 | _Im_DhcpEvent |
| Dns | _Im_Dns |
| 파일 이벤트 | _Im_FileEvent |
| 네트워크 세션 | _Im_NetworkSession |
| 프로세스 이벤트 | _Im_ProcessCreate _Im_ProcessTerminate |
| 레지스트리 이벤트 | _Im_RegistryEvent |
| 사용자 관리 | _Im_UserManagement |
| 웹 세션 | _Im_WebSession |
매개 변수를 사용하여 구문 분석 최적화
파서를 사용하면 주로 구문 분석 후 결과 필터링에서 쿼리 성능에 영향을 줄 수 있습니다. 이러한 이유로 많은 파서에는 쿼리 성능을 구문 분석하기 전에 필터링하고 개선할 수 있는 선택적 필터링 매개 변수가 있습니다. 쿼리 최적화 및 사전 필터링 작업을 통해 ASIM 파서는 정규화를 전혀 사용하지 않는 것에 비해 더 나은 성능을 제공하는 경우가 많습니다.
파서를 호출할 때는 항상 하나 이상의 명명된 매개 변수를 추가하여 사용 가능한 필터링 매개 변수를 사용하여 ASIM 파서의 최적의 성능을 보장합니다.
각 스키마에는 관련 스키마 설명서에 설명된 표준 필터링 매개 변수 집합이 있습니다. 필터링 매개 변수는 전적으로 선택 사항입니다.
필터링 파서를 사용하는 예제는 파서 통합을 참조하세요.
pack 매개 변수
효율성을 보장하기 위해 파서는 정규화된 필드만 유지합니다. 정규화되지 않은 필드는 다른 원본과 결합할 때 값이 적습니다. 일부 파서는 pack 매개 변수를 지원합니다.
pack 매개 변수가 로 true설정되면 파서는 추가 데이터를 AdditionalFields 동적 필드에 압축합니다.
파서 목록 문서는 pack 매개 변수를 지원하는 파서를 기록합니다.
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.