Advanced Security Information Model (ASIM) パーサー (パブリック プレビュー)

  • [アーティクル]

Microsoft Sentinel では、解析と正規化はクエリ時に行われます。 パーサーは KQL ユーザー定義関数として構築され、CommonSecurityLog、カスタム ログテーブル、Syslog などの既存のテーブルのデータを正規化されたスキーマに変換します。

ユーザーは、クエリでテーブル名の代わりに Advanced Security Information Model (ASIM) パーサーを使用して、正規化された形式でデータを表示し、スキーマに関連するすべてのデータをクエリに含めます。

パーサーが ASIM アーキテクチャにどのように適合するかを理解するには、ASIM アーキテクチャの図を参照してください。

重要

現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

組み込みの ASIM パーサーとワークスペースにデプロイされたパーサー

多くの ASIM パーサーは、すべての Microsoft Sentinel ワークスペースに組み込まれており、すぐに利用できます。 ASIM では、ARM テンプレートを使用して、または手動で GitHub から特定のワークスペースへのパーサーのデプロイもサポートしています。 すぐに利用できるパーサーとワークスペースにデプロイされたパーサーはどちらも機能的に同等ですが、名前付け規則が若干異なるため、両方のパーサー セットを同じ Microsoft Sentinel ワークスペースに共存させることができます。

どちらの方法にも、他の方法に比べて利点があります。

比較 組み込み ワークスペースにデプロイ
長所 すべての Microsoft Sentinel インスタンスに存在します。

他の組み込みコンテンツと共に使用できます。		 新しいパーサーは、多くの場合、ワークスペースにデプロイされたパーサーとして最初に配信されます。
短所 ユーザーが直接変更することはできません。

使用可能なパーサーが少なくなります。		 組み込みコンテンツでは使用されません。
いつ使用するか ASIM パーサーが必要なほとんどの場合に使用します。 新しいパーサーをデプロイする場合、またはすぐに利用できないパーサーの場合に使用します。

組み込みのパーサーを使用できるスキーマには、組み込みのパーサーを使用することをお勧めします。

パーサー階層と名前

ASIM には、統合パーサーとソース固有のパーサーという 2 つのレベルのパーサーが含まれます。 通常、ユーザーは、関連するスキーマに対して統合パーサーを使用して、スキーマに関連するすべてのデータが照会されるようにします。 統合パーサーは、ソース固有のパーサーを呼び出して、実際の解析と正規化を実行します。これは、ソースごとに固有です。

統一パーサーの名前は、組み込まれたパーサーの場合は _Im_<schema>、ワークスペースにデプロイされたパーサーの場合は im<schema> です。<schema> は、それが提供する特定のスキーマを表します。 ソース固有のパーサーを個別に使用することもできます。 組み込まれたパーサーには _Im_<schema>_<source> を使用し、ワークスペースにデプロイされたパーサーには vim<schema><source> を使用します。 たとえば、Infoblox 固有のブックでは、_Im_Dns_InfobloxNIOS ソース固有パーサーを使用します。 ソース固有のパーサーの一覧は、ASIM パーサーの一覧にあります。

ヒント

_ASim_<schema>ASim<Schema> を使用する、対応するパーサーのセットも使用できます。 これらのパーサーはフィルター処理パラメーターをサポートしておらず、時刻の選択ツールをカスタム範囲に設定する場合の問題を軽減するために用意されています。 これらのパーサーは、ログ画面でのみ対話形式で使用します。分析ルールやブックなどの他の場所では使用しないでください。 問題が解決されたときに、パーサーが削除されない可能性があります。

ヒント

組み込みのパーサー階層によって、カスタマイズをサポートするレイヤーが追加されます。 詳細については、ASIM パーサーの管理に関する記事をご覧ください。

次の手順

ASIM パーサーの詳細については、次を参照してください。

ASIM 全般の詳細については、次を参照してください。