Microsoft Sentinel クエリでテーブル名の代わりに Advanced Security Information Model (ASIM) パーサーを使用して、正規化された形式でデータを表示し、スキーマに関連するすべてのデータをクエリに含めます。 各スキーマに関連するパーサーを見つけるには、次の表を参照してください。
パーサーの統合
クエリで ASIM を使用する場合は、 統合パーサーを 使用して、すべてのソースを結合し、同じスキーマに正規化し、正規化されたフィールドを使用してクエリを実行します。 統一パーサー名は _Im_<schema>です。ここで、 <schema> は、それが提供する特定のスキーマを表します。
たとえば、次のクエリでは、組み込みの統合 DNS パーサーを使用して、 ResponseCodeName、 SrcIpAddr、および正規化されたフィールド TimeGenerated 使用して DNS イベントにクエリを実行します。
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
この例では 、フィルター 処理パラメーターを使用して、ASIM のパフォーマンスを向上させます。 パラメーターをフィルター処理しない同じ例は次のようになります。
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
次の表に、使用可能な統合パーサーの一覧を示します。
| Schema | パーサーの統合 |
|---|---|
| アラート イベント | _Im_AlertEvent |
| 監査イベント | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| DHCP イベント | _Im_DhcpEvent |
| DNS | _Im_Dns |
| ファイルイベント | _Im_FileEvent |
| ネットワーク セッション | _Im_NetworkSession |
| プロセスイベント | _Im_ProcessCreate _Im_ProcessTerminate |
| レジストリ イベント | _Im_RegistryEvent |
| ユーザー管理 | _Im_UserManagement |
| Web セッション | _Im_WebSession |
パラメーターを使用した解析の最適化
パーサーを使用すると、主に解析後の結果のフィルター処理から、クエリのパフォーマンスに影響を与える可能性があります。 このため、多くのパーサーには省略可能なフィルター パラメーターが含まれています。これにより、解析前にフィルター処理を行い、クエリのパフォーマンスを向上させることができます。 クエリの最適化と事前フィルター処理の作業により、ASIM パーサーは、正規化をまったく使用しない場合と比較して、パフォーマンスが向上することがよくあります。
パーサーを呼び出すときは、ASIM パーサーの最適なパフォーマンスを確保するために、1 つ以上の名前付きパラメーターを追加して、常に使用可能なフィルター パラメーターを使用します。
各スキーマには、関連するスキーマ ドキュメントに記載されているフィルター パラメーターの標準セットがあります。 フィルター 処理パラメーターは完全に省略可能です。
フィルター パーサーの使用例については、「パーサーの統合」 を参照してください。
パックパラメーター
効率を確保するために、パーサーは正規化されたフィールドのみを保持します。 正規化されていないフィールドは、他のソースと組み合わせた場合の値が少なくなります。 一部のパーサーでは、 pack パラメーターがサポートされています。
pack パラメーターが true に設定されている場合、パーサーは AdditionalFields 動的フィールドに追加データをパックします。
パーサーのリストの記事では、pack パラメーターをサポートするパーサーについて述べています。
関連コンテンツ
詳細については、以下を参照してください。