다음을 통해 공유


ASIM(고급 보안 정보 모델) 파서(퍼블릭 미리 보기)

Microsoft Sentinel에서 구문 분석과 정규화는 쿼리 시간에 발생합니다. 파서는 CommonSecurityLog, 사용자 지정 로그 테이블 또는 Syslog와 같은 기존 테이블의 데이터를 정규화된 스키마로 변환하는 KQL 사용자 정의 함수로 빌드됩니다.

사용자는 쿼리에 테이블 이름 대신 ASIM(고급 보안 정보 모델) 파서를 사용하여 정규화된 형식으로 데이터를 살펴보고 스키마와 관련된 모든 데이터를 쿼리에 포함합니다.

파서를 ASIM 아키텍처에 맞추는 방법을 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.

Important

ASIM은 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

기본 제공 ASIM 파서 및 작업 영역 배포 파서

많은 ASIM 파서가 기본 제공되며, 모든 Microsoft Sentinel 작업 영역에서 기본적으로 사용할 수 있습니다. ASIM은 ARM 템플릿을 사용하거나 수동으로 GitHub에서 특정 작업 영역으로 파서를 배포하는 기능도 지원합니다. 기본 제공 파서와 작업 영역 배포 파서는 기능이 동일하지만 명명 규칙이 약간 다르기 때문에 두 파서 집합이 동일한 Microsoft Sentinel 작업 영역에 함께 사용할 수 있습니다.

각 메서드에 다른 메서드 대비 장점이 있습니다.

비교 기본 제공 작업 영역 배포
장점 모든 Microsoft Sentinel 인스턴스에 있습니다.

다른 기본 제공 콘텐츠에서 사용할 수 있습니다.
새 파서는 처음에 작업 영역 배포 파서로 제공되는 경우가 많습니다.
단점 사용자가 직접 수정할 수 없습니다.

사용 가능한 파서 수가 더 적습니다.
기본 제공 콘텐츠에서 사용되지 않습니다.
사용 시기 ASIM 파서가 필요한 대부분의 경우에서 사용합니다. 새 파서를 배포할 때 또는 기본적으로 사용할 수 없는 파서를 위해 사용합니다.

기본 제공 파서를 사용할 수 있는 스키마에는 기본 제공 파서를 사용하는 것이 좋습니다.

파서 계층 구조 및 이름 지정

ASIM에는 두 가지 수준의 파서인 통합 파서와 원본별 파서가 포함되어 있습니다. 사용자는 일반적으로 관련 스키마를 위해 통합 파서를 사용하여 스키마와 관련된 모든 데이터가 쿼리되도록 합니다. 통합 파서는 다시 원본별 파서를 호출하여 각 원본과 관련된 실제 구문 분석 및 정규화를 수행합니다.

통합 구문 분석기 이름은 기본 제공 구문 분석기의 경우 _Im_<schema>이고 작업 영역 배포 구문 분석기의 경우 im<schema>입니다. 여기서 <schema>는 제공하는 특정 스키마를 나타냅니다. 원본 관련 파서는 독립적으로 사용할 수도 있습니다. 기본 제공 파서에 _Im_<schema>_<source>, 작업 영역 배포 파서에 vim<schema><source>를 사용합니다. 예를 들어 Infoblox 관련 통합 문서에서는 _Im_Dns_InfobloxNIOS 원본 관련 파서를 사용합니다. ASIM 파서 목록에서 원본별 파서 목록을 찾을 수 있습니다.

_ASim_<schema>ASim<Schema>를 사용하는 해당 파서 집합도 사용할 수 있습니다. 이러한 파서는 필터링 매개 변수를 지원하지 않으며 사용자 지정 범위로 설정된 시간 선택기 문제를 완화하는 데 도움이 되도록 제공됩니다. 분석 규칙 또는 통합 문서와 같이 로그 화면에서 대화형으로만 해당 파서를 사용하지만 다른 곳에서는 사용하지 않습니다. 이 파서는 문제가 해결될 때 제거되지 않을 수 있습니다.

기본 제공 파서 계층 구조에서 사용자 지정을 지원하기 위해 계층을 추가합니다. 자세한 내용은 ASIM 파서 관리를 참조하세요.

다음 단계

ASIM 파서에 대해 자세히 알아보기:

일반적으로 ASIM에 대한 자세한 내용은 다음을 참조하세요.