擷取時間正規化
查詢時間剖析
如 ASIM 概觀所述,Microsoft Sentinel 會使用查詢時間和擷取時間正規化來獲得各自的優點。
若要使用查詢時間正規化,請使用查詢時間整合剖析器,例如查詢中的 _Im_Dns
。 使用查詢時間剖析正規化有數個優點:
- 保留原始格式:查詢時間正規化不需要修改資料,因此會保留來源所傳送的原始資料格式。
- 避免潛在的重複記憶體:由於標準化數據只是原始數據的檢視,因此不需要同時儲存原始和正規化的數據。
- 更容易開發:由於查詢時間剖析器呈現數據的檢視,而且不會修改數據,因此很容易開發。 開發、測試及修正剖析器都可以在現有數據上完成。 此外,在發現問題時可以修正剖析器,並將修正套用至現有的數據。
擷取時間剖析
雖然 ASIM 查詢時間剖析器已最佳化,但查詢時間剖析可能會讓查詢變慢,特別是在大型資料集上。
擷取時間剖析可讓事件轉換成正規化結構描述,因為其會擷取至 Microsoft Sentinel,並以正規化格式儲存。 擷取時間剖析較不具彈性且剖析器較難開發,但由於資料是以正規化格式儲存,因此可提供更佳的效能。
正規化資料可以儲存在 Microsoft Sentinel 的原生正規化資料表,或是使用 ASIM 結構描述的自訂資料表中。 自訂資料表,其結構描述接近 ASIM 結構描述但不相同,也提供擷取時間正規化的效能優點。
目前,ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地:
- 稽核事件結構描述的ASimAuditEventLogs。
- 驗證結構描述的ASimAuthenticationEventLogs。
- DNS 結構描述的 ASimDnsActivityLogs。
- 網路工作階段結構描述的ASimNetworkSessionLogs
- Web 工作階段結構描述的ASimWebSessionLogs。
原生正規化數據表的優點是它們預設包含在 ASIM 統一剖析器中。 自訂正規化資料表可以包含在整合剖析器中,如管理剖析器所述。
結合擷取時間和查詢時間正規化
查詢應該一律使用查詢時間整合剖析器,例如 _Im_Dns
,來利用查詢時間和擷取時間正規化。 原生正規化資料表會使用虛設常式剖析器包含在查詢的資料中。
虛設常式剖析器是查詢時間剖析器,用來作為正規化資料表的輸入。 由於正規化資料表不需要剖析,因此虛設常式剖析器會有效率。
虛設常式剖析器會將檢視呈現給新增至 ASIM 原生資料表的呼叫查詢:
- 別名 - 為了不浪費重複值的儲存空間,別名不會儲存在 ASIM 原生資料表中,而且會在查詢時由虛設常式剖析器新增。
- 常數值 - 例如別名,而且基於相同原因,ASIM 正規化資料表也不會儲存常數值,例如 EventSchema。 虛設常式剖析器會新增這些欄位。 ASIM 正規化資料表是由許多來源共用,而擷取時間剖析器可以變更其輸出版本。 因此,EventProduct、EventVendor 和 EventSchemaVersion 等欄位不是常數,而且不會由虛設常式剖析器新增。
- 篩選 - 虛設常式剖析器也會實作篩選。 雖然 ASIM 原生資料表不需要篩選剖析器就能達到更好的效能,但需要篩選以支援包含在整合剖析器中。
- 更新和修正程式 - 使用虛設常式剖析器可加快修正問題的速度。 例如,如果數據擷取不正確,擷取期間可能尚未從訊息字段擷取IP位址。 IP 位址可以在查詢時由虛設常式剖析器擷取。
使用自訂正規化資料表時,請建立您自己的虛設常式剖析器來實作這項功能,並將其新增至整合剖析器,如管理剖析器所述。 使用原生資料表的虛設常式剖析器,例如 DNS 原生資料表虛設常式剖析器及其篩選對應項目作為起點。 如果您的資料表是半正規化,請使用虛設常式剖析器來執行所需的額外剖析和正規化。
在開發 ASIM 剖析器中深入了解如何撰寫剖析器。
實作擷取時間正規化
若要將擷取的數據正規化,您必須使用 資料收集規則 (DCR) 。 實作 DCR 的程序取決於用來擷取資料的方法。 如需詳細資訊,請參閱在Microsoft Sentinel 中擷取時間轉換或自定義數據一文。
KQL 轉換查詢是 DCR 的核心。 DCR 中使用的 KQL 版本與 Microsoft Sentinel 中其他地方所使用的版本稍有不同,以因應管線事件處理的需求。 因此,您必須修改任何查詢時間剖析器,以在 DCR 中使用它。 如需差異的詳細資訊,以及如何將查詢時間剖析器轉換成擷取時間剖析器,請參閱 DCR KQL 限制。
下一步
如需詳細資訊,請參閱