A betöltési idő normalizálása

Lekérdezési idő elemzése

Az ASIM áttekintése során a Microsoft Sentinel a lekérdezési időt és a betöltési idő normalizálását is használja az egyes előnyök kihasználásához.

A lekérdezési idő normalizálásához használja a lekérdezési idő egyesítő elemzőit, például _Im_Dns a lekérdezésekben. A lekérdezési idő elemzésének normalizálása számos előnnyel jár:

• Az eredeti formátum megőrzése: A lekérdezési idő normalizálásához nincs szükség az adatok módosítására, így megőrizve a forrás által küldött eredeti adatformátumot.
• A lehetséges duplikált tárolás elkerülése: Mivel a normalizált adatok csak az eredeti adatok nézetét jelenítik meg, nincs szükség az eredeti és a normalizált adatok tárolására.
• Egyszerűbb fejlesztés: Mivel a lekérdezési időelemzők az adatok nézetét jelenítik meg, és nem módosítják az adatokat, könnyen fejleszthetők. Az elemzők fejlesztése, tesztelése és javítása mind elvégezhető a meglévő adatokon. Emellett az elemzők kijavíthatók egy probléma észlelésekor, és a javítás a meglévő adatokra lesz alkalmazva.

Betöltési idő elemzése

Bár az ASIM lekérdezési időelemzői optimalizálva vannak, a lekérdezések időelemzése lelassíthatja a lekérdezéseket, különösen nagy adathalmazok esetén.

Az időelemzés lehetővé teszi az események normalizált sémává alakítását a Microsoft Sentinelbe való betöltésükkor, és normalizált formátumban tárolva őket. A betöltési idő elemzése kevésbé rugalmas, és az elemzők fejlesztése nehezebb, de mivel az adatokat normalizált formátumban tárolják, jobb teljesítményt nyújt.

A normalizált adatok tárolhatók a Microsoft Sentinel natív normalizált tábláiban vagy egy ASIM-sémát használó egyéni táblában. Az ASIM-sémához közel álló, de nem azonos sémával rendelkező egyéni tábla a betöltési idő normalizálásának teljesítménybeli előnyeit is biztosítja.

Az ASIM jelenleg a következő natív normalizált táblákat támogatja célként a betöltési idő normalizálásához:

• ASimAuditEventLogs for the Audit Event schema.
• ASimAuthenticationEventLogs a hitelesítési sémához.
• ASimDnsActivityLogs a DNS-sémához .
• ASimNetworkSessionLogs a hálózati munkamenet sémához
• ASimWebSessionLogs a webes munkamenet sémához.

A natív normalizált táblák előnye, hogy alapértelmezés szerint bekerülnek az ASIM egyesítő elemzőibe. Az egyéni normalizált táblák belefoglalhatók az egyesítő elemzőkbe, ahogy az a Elemzések kezelése című témakörben is szerepel.

A lekérdezési idő és a betöltési idő normalizálásának kombinálása

A lekérdezéseknek mindig a lekérdezési idő egyesítő elemzőit kell használniuk, például _Im_Dns kihasználni a lekérdezési időt és a betöltési idő normalizálását. A natív normalizált táblák egy csonkelemző használatával szerepelnek a lekérdezett adatokban.

A csonkelemző egy lekérdezési időelemző, amely a normalizált tábla bemeneteként használja. Mivel a normalizált tábla nem igényel elemzést, a csonkelemző hatékony.

A csonkelemző egy nézetet jelenít meg az ASIM natív táblához hozzáadott hívó lekérdezéshez:

• Aliasok – annak érdekében, hogy ne pazarolja a tárolót az ismétlődő értékekre, az aliasok nem tárolódnak natív ASIM-táblákban, és a csonkelemzők a lekérdezési időben hozzáadják őket.
• Állandó értékek – Az aliasokhoz hasonlóan, és ugyanebből az okból az ASIM normalizált táblák szintén nem tárolnak állandó értékeket, például EventSchemát. A csonkelemző hozzáadja ezeket a mezőket. Az ASIM normalizált táblát számos forrás megosztja, és a betöltési időelemzők módosíthatják a kimeneti verziójukat. Ezért az olyan mezők, mint az EventProduct, az EventVendor és az EventSchemaVersion , nem állandók, és a csonkelemző nem ad hozzá.
• Szűrés – a csonkelemző a szűrést is implementálja. Bár a natív ASIM-tábláknak nincs szükségük szűrőelemzőkre a jobb teljesítmény eléréséhez, szűrésre van szükség az egységesítő elemzőbe való felvétel támogatásához.
• Frissítések és javítások – A csonk-elemzővel gyorsabban kijavíthatja a problémákat. Ha például az adatok betöltése helytelenül történt, előfordulhat, hogy az IP-cím nem lett kinyerve az üzenetmezőből a betöltés során. Az IP-címet a csonkelemző kinyerheti a lekérdezési időpontban.

Egyéni normalizált táblák használata esetén hozzon létre egy saját csonkelemzőt a funkció implementálásához, és adja hozzá az egyesítő elemzőkhöz az Elemzések kezelése szakaszban ismertetett módon. Kiindulási pontként használja a csonkelemzőt a natív táblához, például a DNS natív táblaelemzőjét és szűrési megfelelőjét. Ha a táblázat félig normalizált, a csonkelemző használatával végezze el a szükséges további elemzést és normalizálást.

További információ az elemzők írásáról az ASIM-elemzők fejlesztésében.

Betöltési idő normalizálásának megvalósítása

Az adatok betöltésekor történő normalizálásához egy adatgyűjtési szabályt (DCR) kell használnia. A DCR implementálásának eljárása az adatok betöltéséhez használt módszertől függ. További információ: Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben.

A KQL-átalakítási lekérdezés a DCR magja. A DCR-ekben használt KQL-verzió kissé eltér a Microsoft Sentinel máshol használt verziójától a folyamatesemény-feldolgozás követelményeinek kielégítéséhez. Ezért módosítania kell a lekérdezési idő elemzőt a DCR-ben való használatához. A különbségekkel és a lekérdezési idő elemzőjének betöltési idő elemzővé alakításával kapcsolatos további információkért olvassa el a DCR KQL korlátait.

Következő lépések

További információk:

• Normalizálás és az Advanced Security Information Model (ASIM)
• Advanced Security Information Model (ASIM) elemzők
• Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben