Microsoft Sentinel 구문 분석 및 정규화는 쿼리 시간에 발생합니다. 파서는 CommonSecurityLog, 사용자 지정 로그 테이블 또는 Syslog와 같은 기존 테이블의 데이터를 정규화된 스키마로 변환하는 KQL 사용자 정의 함수로 빌드됩니다.
사용자는 쿼리의 테이블 이름 대신 ASIM(고급 보안 정보 모델) 파서를 사용하여 정규화된 형식으로 데이터를 보고 쿼리에 스키마와 관련된 모든 데이터를 포함합니다.
파서가 ASIM 아키텍처에 어떻게 적합한지 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.
기본 제공 ASIM 파서 및 작업 영역 배포 파서
ASIM 파서는 모든 Microsoft Sentinel 작업 영역에서 기본 제공되고 기본적으로 사용할 수 있습니다.
ASIM은 ARM 템플릿을 사용하여 GitHub의 특정 작업 영역에 파서를 배포하는 것도 지원합니다. 배포된 작업 영역 파서는 ASIM 파서 개발 및 관리에 사용됩니다. 배포된 작업 영역 파서는 기능적으로 동일하지만 명명 규칙이 약간 다르기 때문에 두 파서 집합이 동일한 Microsoft Sentinel 작업 영역에서 기본 제공 파서와 공존할 수 있습니다. 배포, 사용 및 관리하기 위해 배포된 작업 영역 파서 에 대해 자세히 알아보세요.
ASIM 콘텐츠를 개발할 때 기본 제공 파서를 사용하는 것이 좋습니다. 작업 영역 배포 파서는 일반적으로 파서 개발 프로세스 중에 사용되거나 파서 관리에 설명된 대로 수정된 버전의 기본 제공 파서를 제공하는 데 사용됩니다.
파서 계층 구조 및 이름 지정
ASIM에는 파서 통합 및 원본별 파서의 두 가지 수준의 파서가 포함됩니다. 일반적으로 사용자는 관련 스키마에 대해 통합 파서를 사용하여 스키마와 관련된 모든 데이터를 쿼리합니다. 통합 파서는 원본별 파서를 호출하여 각 원본에 특정한 실제 구문 분석 및 정규화를 수행합니다.
통합 파서 이름은 _Im_<schema> 여기서 <schema> 제공하는 특정 스키마를 의미합니다. 원본별 파서를 독립적으로 사용할 수도 있습니다. 명명 규칙은 입니다 _Im_<schema>_<source>V<version>. ASIM 파서 목록에서 원본별 파서 목록을 찾을 수 있습니다.
참고
를 사용하는 _ASim_<schema>해당 파서 집합입니다. 이러한 파서는 필터링 매개 변수를 지원하지 않으며 이전 버전과의 호환성을 위해 제공됩니다.
팁
파서 계층 구조는 사용자 지정을 지원하는 계층을 추가합니다. 자세한 내용은 ASIM 파서 관리를 참조하세요.
다음 단계
ASIM 파서에 대해 자세히 알아보세요.
일반적으로 ASIM에 대한 자세한 내용은 다음을 참조하세요.