A betöltési idő normalizálása
Lekérdezési idő elemzése
Az ASIM áttekintése során a Microsoft Sentinel a lekérdezési időt és a betöltési idő normalizálását is használja az egyes előnyök kihasználásához.
A lekérdezési idő normalizálásához használja a lekérdezési idő egyesítő elemzőit, például _Im_Dns
a lekérdezésekben. A lekérdezési idő elemzésének normalizálása számos előnnyel jár:
- Az eredeti formátum megőrzése: A lekérdezési idő normalizálásához nincs szükség az adatok módosítására, így megőrizve a forrás által küldött eredeti adatformátumot.
- A lehetséges duplikált tárolás elkerülése: Mivel a normalizált adatok csak az eredeti adatok nézetét jelenítik meg, nincs szükség az eredeti és a normalizált adatok tárolására.
- Egyszerűbb fejlesztés: Mivel a lekérdezési időelemzők az adatok nézetét jelenítik meg, és nem módosítják az adatokat, könnyen fejleszthetők. Az elemzők fejlesztése, tesztelése és javítása mind elvégezhető a meglévő adatokon. Emellett az elemzők kijavíthatók egy probléma észlelésekor, és a javítás a meglévő adatokra lesz alkalmazva.
Betöltési idő elemzése
Bár az ASIM lekérdezési időelemzői optimalizálva vannak, a lekérdezések időelemzése lelassíthatja a lekérdezéseket, különösen nagy adathalmazok esetén.
Az időelemzés lehetővé teszi az események normalizált sémává alakítását a Microsoft Sentinelbe való betöltésükkor, és normalizált formátumban tárolva őket. A betöltési idő elemzése kevésbé rugalmas, és az elemzők fejlesztése nehezebb, de mivel az adatokat normalizált formátumban tárolják, jobb teljesítményt nyújt.
A normalizált adatok tárolhatók a Microsoft Sentinel natív normalizált tábláiban vagy egy ASIM-sémát használó egyéni táblában. Az ASIM-sémához közel álló, de nem azonos sémával rendelkező egyéni tábla a betöltési idő normalizálásának teljesítménybeli előnyeit is biztosítja.
Az ASIM jelenleg a következő natív normalizált táblákat támogatja célként a betöltési idő normalizálásához:
- ASimAuditEventLogs for the Audit Event schema.
- ASimAuthenticationEventLogs a hitelesítési sémához.
- ASimDnsActivityLogs a DNS-sémához .
- ASimNetworkSessionLogs a hálózati munkamenet sémához
- ASimWebSessionLogs a webes munkamenet sémához.
A natív normalizált táblák előnye, hogy alapértelmezés szerint bekerülnek az ASIM egyesítő elemzőibe. Az egyéni normalizált táblák belefoglalhatók az egyesítő elemzőkbe, ahogy az a Elemzések kezelése című témakörben is szerepel.
A lekérdezési idő és a betöltési idő normalizálásának kombinálása
A lekérdezéseknek mindig a lekérdezési idő egyesítő elemzőit kell használniuk, például _Im_Dns
kihasználni a lekérdezési időt és a betöltési idő normalizálását. A natív normalizált táblák egy csonkelemző használatával szerepelnek a lekérdezett adatokban.
A csonkelemző egy lekérdezési időelemző, amely a normalizált tábla bemeneteként használja. Mivel a normalizált tábla nem igényel elemzést, a csonkelemző hatékony.
A csonkelemző egy nézetet jelenít meg az ASIM natív táblához hozzáadott hívó lekérdezéshez:
- Aliasok – annak érdekében, hogy ne pazarolja a tárolót az ismétlődő értékekre, az aliasok nem tárolódnak natív ASIM-táblákban, és a csonkelemzők a lekérdezési időben hozzáadják őket.
- Állandó értékek – Az aliasokhoz hasonlóan, és ugyanebből az okból az ASIM normalizált táblák szintén nem tárolnak állandó értékeket, például EventSchemát. A csonkelemző hozzáadja ezeket a mezőket. Az ASIM normalizált táblát számos forrás megosztja, és a betöltési időelemzők módosíthatják a kimeneti verziójukat. Ezért az olyan mezők, mint az EventProduct, az EventVendor és az EventSchemaVersion , nem állandók, és a csonkelemző nem ad hozzá.
- Szűrés – a csonkelemző a szűrést is implementálja. Bár a natív ASIM-tábláknak nincs szükségük szűrőelemzőkre a jobb teljesítmény eléréséhez, szűrésre van szükség az egységesítő elemzőbe való felvétel támogatásához.
- Frissítések és javítások – A csonk-elemzővel gyorsabban kijavíthatja a problémákat. Ha például az adatok betöltése helytelenül történt, előfordulhat, hogy az IP-cím nem lett kinyerve az üzenetmezőből a betöltés során. Az IP-címet a csonkelemző kinyerheti a lekérdezési időpontban.
Egyéni normalizált táblák használata esetén hozzon létre egy saját csonkelemzőt a funkció implementálásához, és adja hozzá az egyesítő elemzőkhöz az Elemzések kezelése szakaszban ismertetett módon. Kiindulási pontként használja a csonkelemzőt a natív táblához, például a DNS natív táblaelemzőjét és szűrési megfelelőjét. Ha a táblázat félig normalizált, a csonkelemző használatával végezze el a szükséges további elemzést és normalizálást.
További információ az elemzők írásáról az ASIM-elemzők fejlesztésében.
Betöltési idő normalizálásának megvalósítása
Az adatok betöltésekor történő normalizálásához egy adatgyűjtési szabályt (DCR) kell használnia. A DCR implementálásának eljárása az adatok betöltéséhez használt módszertől függ. További információ: Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben.
A KQL-átalakítási lekérdezés a DCR magja. A DCR-ekben használt KQL-verzió kissé eltér a Microsoft Sentinel máshol használt verziójától a folyamatesemény-feldolgozás követelményeinek kielégítéséhez. Ezért módosítania kell a lekérdezési idő elemzőt a DCR-ben való használatához. A különbségekkel és a lekérdezési idő elemzőjének betöltési idő elemzővé alakításával kapcsolatos további információkért olvassa el a DCR KQL korlátait.
Következő lépések
További információk: