استيعاب تطبيع الوقت

تحليل وقت الاستعلام

كمناقشة في نظرة عامة على ASIM، يستخدم Microsoft Sentinel وقت الاستعلام واستيعاب تسوية الوقت للاستفادة من فوائد كل منها.

لاستخدام تسوية وقت الاستعلام، استخدم تحليلات توحيد وقت الاستعلام، كما هو الحال _Im_Dns في الاستعلامات. التطبيع باستخدام تحليل وقت الاستعلام له العديد من المزايا:

• الحفاظ على التنسيق الأصلي: لا يتطلب تسوية وقت الاستعلام تعديل البيانات، وبالتالي الحفاظ على تنسيق البيانات الأصلي المرسل من قبل المصدر.
• تجنب التخزين المتكرر المحتمل: نظرا لأن البيانات التي تمت تسويتها هي مجرد عرض للبيانات الأصلية، فليست هناك حاجة لتخزين كل من البيانات الأصلية والبيانات التي تمت تسويتها.
• تطوير أسهل: نظرا لأن محللات وقت الاستعلام تقدم عرضا للبيانات ولا تعدل البيانات، فمن السهل تطويرها. يمكن أن يتم تطوير المحلل واختباره وإصلاحه على البيانات الموجودة. علاوة على ذلك، يمكن إصلاح المحللات عند اكتشاف مشكلة، ويتم تطبيق الإصلاح على البيانات الموجودة.

استيعاب تحليل الوقت

بينما يتم تحسين تحليلات وقت استعلام ASIM، يمكن أن يؤدي تحليل وقت الاستعلام إلى إبطاء الاستعلامات، خاصة على مجموعات البيانات الكبيرة.

يتيح تحليل الوقت تحويل الأحداث إلى مخطط تمت تسويتها أثناء استيعابها في Microsoft Sentinel وتخزينها بتنسيق تمت تسويته. يعد استيعاب تحليل الوقت أقل مرونة ويصعب تطوير المحللات، ولكن بما أن البيانات مخزنة بتنسيق تمت تسويتها، فهي تقدم أداء أفضل.

يمكن تخزين البيانات التي تمت تسويتها في جداول Microsoft Sentinel الأصلية التي تمت تسويتها، أو في جدول مخصص يستخدم مخطط ASIM. يوفر الجدول المخصص الذي يحتوي على مخطط قريب من مخطط ASIM، ولكنه غير متطابق، أيضا فوائد الأداء لاستيعاب تسوية الوقت.

حاليا، يدعم ASIM الجداول الأصلية التالية التي تمت تسويتها كوجهة لاستيعاب تسوية الوقت:

• ASimAuditEventLogs لمخطط حدث التدقيق.
• ASimAuthenticationEventLogs لمخطط المصادقة .
• سجلات نشاط ASimDns لمخطط DNS .
• ASimNetworkSessionLogs لمخطط جلسة عمل الشبكة
• ASimWebSessionLogs لمخطط جلسة عمل الويب.

تتمثل ميزة الجداول الأصلية التي تمت تسويتها في تضمينها بشكل افتراضي في محللات ASIM الموحدة. يمكن تضمين الجداول العادية المخصصة في المحللات الموحدة، كما تمت مناقشته في إدارة المحللات.

الجمع بين استيعاب الوقت وتطبيع وقت الاستعلام

يجب أن تستخدم الاستعلامات دائما وقت الاستعلام لتوحيد المحللات، مثل _Im_Dns الاستفادة من وقت الاستعلام واستيعاب تسوية الوقت. يتم تضمين الجداول الأصلية التي تمت تسويتها في البيانات التي تم الاستعلام عليها باستخدام محلل كعب الروتين.

محلل كعب الروتين هو محلل وقت استعلام يستخدم كإدخل للجدول الذي تمت تسويته. نظرا لأن الجدول الذي تمت تسويته لا يتطلب التحليل، فإن محلل الكعب فعال.

يقدم محلل كعب الروتين طريقة عرض لاستعلام الاستدعاء الذي يضيف إلى الجدول الأصلي ASIM:

• الأسماء المستعارة - من أجل عدم إهدار التخزين على القيم المتكررة، لا يتم تخزين الأسماء المستعارة في جداول ASIM الأصلية وتتم إضافتها في وقت الاستعلام بواسطة محللات كعب الروتين.
• القيم الثابتة - مثل الأسماء المستعارة، وللسبب نفسه، لا تخزن الجداول التي تمت تسويتها ASIM أيضا القيم الثابتة مثل EventSchema. يضيف محلل كعب الروتين هذه الحقول. تتم مشاركة جدول ASIM الذي تمت تسويته بواسطة العديد من المصادر، ويمكن لموزعي الوقت استيعاب تغيير إصدار الإخراج. لذلك، حقول مثل EventProduct و EventVendor و EventSchemaVersionليست ثابتة ولا تتم إضافتها بواسطة محلل كعب الروتين.
• التصفية - يقوم محلل كعب الروتين أيضا بتنفيذ التصفية. في حين أن الجداول الأصلية ل ASIM لا تحتاج إلى محللات تصفية لتحقيق أداء أفضل، فإن التصفية مطلوبة لدعم التضمين في المحلل الموحد.
• التحديثات والإصلاحات - يتيح استخدام محلل كعب الروتين إصلاح المشكلات بشكل أسرع. على سبيل المثال، إذا تم استيعاب البيانات بشكل غير صحيح، فربما لم يتم استخراج عنوان IP من حقل الرسالة أثناء الاستيعاب. يمكن استخراج عنوان IP بواسطة محلل كعب الروتين في وقت الاستعلام.

عند استخدام جداول عادية مخصصة، قم بإنشاء محلل كعب الروتين الخاص بك لتنفيذ هذه الوظيفة، وإضافته إلى المحللات الموحدة كما تمت مناقشته في إدارة المحللات. استخدم محلل كعب الروتين للجدول الأصلي، مثل محلل كعب الروتين للجدول الأصلي DNS ونظير التصفية الخاص به، كنقطة بداية. إذا كان الجدول شبه تسوية، فاستخدم محلل كعب الروتين لإجراء التحليل الإضافي والتسوية المطلوبة.

تعرف على المزيد حول كتابة محللات في تطوير محللات ASIM.

تنفيذ استيعاب تطبيع الوقت

لتطبيع البيانات عند استيعابها، تحتاج إلى استخدام قاعدة تجميع البيانات (DCR). يعتمد إجراء تنفيذ DCR على الطريقة المستخدمة لاستيعاب البيانات. لمزيد من المعلومات، راجع المقالة تحويل البيانات أو تخصيصها في وقت الاستيعاب في Microsoft Sentinel.

استعلام تحويل KQL هو جوهر DCR. يختلف إصدار KQL المستخدم في DCRs قليلا عن الإصدار المستخدم في مكان آخر في Microsoft Sentinel لاستيعاب متطلبات معالجة حدث المسار. لذلك، تحتاج إلى تعديل أي محلل وقت الاستعلام لاستخدامه في DCR. لمزيد من المعلومات حول الاختلافات، وكيفية تحويل محلل وقت الاستعلام إلى محلل وقت استيعاب، اقرأ عن قيود DCR KQL.

الخطوات التالية

لمزيد من المعلومات، راجع:

• التطبيع ونموذج معلومات الأمان المتقدم (ASIM)
• محللات نموذج معلومات الأمان المتقدم (ASIM)
• تحويل البيانات أو تخصيصها في وقت الاستيعاب في Microsoft Sentinel