Normalizace doby ingestování

Analýza času dotazu

Jako diskuzi v přehledu ASIM používá Microsoft Sentinel k využití výhod jednotlivých výhod jak čas dotazu, tak normalizaci ingestování času.

Pokud chcete použít normalizaci času dotazu, použijte analyzátory času dotazu, například _Im_Dns v dotazech. Normalizace pomocí analýzy času dotazu má několik výhod:

• Zachování původního formátu: Normalizace doby dotazu nevyžaduje úpravu dat, čímž se zachová původní formát dat odeslaný zdrojem.
• Vyhněte se potenciálnímu duplicitnímu úložišti: Vzhledem k tomu, že normalizovaná data jsou pouze zobrazením původních dat, není nutné ukládat původní i normalizovaná data.
• Jednodušší vývoj: Vzhledem k tomu, že analyzátory času dotazů prezentují zobrazení dat a neupravují data, dají se snadno vyvíjet. Vývoj, testování a oprava analyzátoru je možné provádět na existujících datech. Analyzátory je navíc možné opravit při zjištění problému a oprava se použije u existujících dat.

Analýza času ingestování

Zatímco analyzátory času dotazů ASIM jsou optimalizované, analýza času dotazu může zpomalit dotazy, zejména u velkých datových sad.

Analýza Ingestování času umožňuje transformovat události na normalizované schéma při jejich příjmu do Služby Microsoft Sentinel a jejich ukládání do normalizovaného formátu. Ingestování času je méně flexibilní a analyzátory se obtížně vyvíjejí, ale vzhledem k tomu, že jsou data uložená v normalizovaném formátu, nabízí lepší výkon.

Normalizovaná data se dají ukládat v nativních normalizovaných tabulkách Microsoft Sentinelu nebo ve vlastní tabulce, která používá schéma ASIM. Vlastní tabulka, která má schéma blízko schématu, ale ne identické se schématem ASIM, také poskytuje výhody výkonu normalizace ingestování času.

V současné době ASIM podporuje následující nativní normalizované tabulky jako cíl pro normalizaci ingestování času:

• ASimAuditEventLogs pro schéma události auditu.
• ASimAuthenticationEventLogs pro schéma ověřování .
• ASimDnsActivityLogs pro schéma DNS .
• ASimNetworkSessionLogs pro schéma síťové relace
• ASimWebSessionLogs pro schéma webové relace .

Výhodou nativních normalizovaných tabulek je, že jsou ve výchozím nastavení zahrnuté do jednoti analyzátorů ASIM. Vlastní normalizované tabulky lze zahrnout do unifikujících analyzátorů, jak je popsáno v tématu Správa analyzátorů.

Kombinace normalizace času ingestování a času dotazu

Dotazy by vždy měly používat unifikující analyzátory času dotazu, jako _Im_Dns je využití času dotazu i normalizace ingestování času. Nativní normalizované tabulky jsou zahrnuté do dotazovaných dat pomocí analyzátoru zástupných procedur.

Analyzátor zástupných procedur je analyzátor času dotazu, který se používá jako vstup normalizované tabulky. Vzhledem k tomu, že normalizovaná tabulka nevyžaduje analýzu, je analyzátor zástupných procedur efektivní.

Analyzátor zástupných procedur zobrazí zobrazení volajícího dotazu, který se přidá do nativní tabulky ASIM:

• Aliasy – aby nedošlo k plýtvání úložištěm opakujících se hodnot, aliasy se neukládají do nativních tabulek ASIM a přidají se v době dotazu analyzátory zástupné procedury.
• Konstantní hodnoty – stejně jako aliasy a ze stejného důvodu normalizované tabulky ASIM také neukládají konstantní hodnoty, jako je EventSchema. Analyzátor zástupných procedur tato pole přidá. Normalizované tabulky ASIM sdílí mnoho zdrojů a analyzátory času ingestování můžou změnit svou výstupní verzi. Pole jako EventProduct, EventVendor a EventSchemaVersion proto nejsou konstantní a nejsou přidána analyzátorem zástupných procedur.
• Filtrování – analyzátor zástupných procedur také implementuje filtrování. Nativní tabulky ASIM sice k dosažení lepšího výkonu nepotřebují filtrovat analyzátory, ale filtrování je potřeba k podpoře zahrnutí do unifikujícího analyzátoru.
• Aktualizace a opravy – Použití analyzátoru zástupných procedur umožňuje rychlejší řešení problémů. Pokud se například data ingestovala nesprávně, nemusí být BĚHEM ingestování extrahovaná IP adresa z pole zprávy. IP adresu může parser zástupných procedur extrahovat v době dotazu.

Při použití vlastních normalizovaných tabulek vytvořte vlastní analyzátor zástupných procedur pro implementaci této funkce a přidejte ho do unifikujících analyzátorů, jak je popsáno v tématu Správa analyzátorů. Jako výchozí bod použijte analyzátor zástupných procedur pro nativní tabulku, například analyzátor zástupných procedur nativních tabulek DNS a jeho protějšek filtrování. Pokud je tabulka částečně normalizovaná, použijte analyzátor zástupných procedur k provedení dalších potřebných parsování a normalizace.

Přečtěte si další informace o psaní analyzátorů v oblasti Vývoj analyzátorů ASIM.

Implementace normalizace ingestování času

Pokud chcete normalizovat data při ingestování, musíte použít pravidlo shromažďování dat (DCR). Postup implementace DCR závisí na metodě použité k ingestování dat. Další informace najdete v článku Transformace nebo přizpůsobení dat v době příjmu dat v Microsoft Sentinelu.

Transformační dotaz KQL je jádrem DCR. Verze KQL použitá v řadičích domény se mírně liší od verze používané jinde v Microsoft Sentinelu, aby vyhovovala požadavkům zpracování událostí kanálu. Proto je potřeba upravit jakýkoli analyzátor času dotazu tak, aby ho používal v řadiči domény. Další informace orozdílch

Další kroky

Další informace naleznete v tématu:

• Normalizace a rozšířený model informací o zabezpečení (ASIM)
• Analyzátory advanced security information model (ASIM)
• Transformace nebo přizpůsobení dat v době příjmu dat v Microsoft Sentinelu