擷取時間正規化

查詢時間剖析

如 ASIM 概觀所述，Microsoft Sentinel 會使用查詢時間和擷取時間正規化來獲得各自的優點。

若要使用查詢時間正規化，請使用查詢時間整合剖析器，例如查詢中的 _Im_Dns。 使用查詢時間剖析正規化有數個優點：

• 保留原始格式：查詢時間正規化不需要修改資料，因此會保留來源所傳送的原始資料格式。
• 避免潛在的重複記憶體：由於標準化數據只是原始數據的檢視，因此不需要同時儲存原始和正規化的數據。
• 更容易開發：由於查詢時間剖析器呈現數據的檢視，而且不會修改數據，因此很容易開發。 開發、測試及修正剖析器都可以在現有數據上完成。 此外，在發現問題時可以修正剖析器，並將修正套用至現有的數據。

擷取時間剖析

雖然 ASIM 查詢時間剖析器已最佳化，但查詢時間剖析可能會讓查詢變慢，特別是在大型資料集上。

擷取時間剖析可讓事件轉換成正規化結構描述，因為其會擷取至 Microsoft Sentinel，並以正規化格式儲存。 擷取時間剖析較不具彈性且剖析器較難開發，但由於資料是以正規化格式儲存，因此可提供更佳的效能。

正規化資料可以儲存在 Microsoft Sentinel 的原生正規化資料表，或是使用 ASIM 結構描述的自訂資料表中。 自訂資料表，其結構描述接近 ASIM 結構描述但不相同，也提供擷取時間正規化的效能優點。

目前，ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地：

• 稽核事件結構描述的ASimAuditEventLogs。
• 驗證結構描述的ASimAuthenticationEventLogs。
• DNS 結構描述的 ASimDnsActivityLogs。
• 網路工作階段結構描述的ASimNetworkSessionLogs
• Web 工作階段結構描述的ASimWebSessionLogs。

原生正規化數據表的優點是它們預設包含在 ASIM 統一剖析器中。 自訂正規化資料表可以包含在整合剖析器中，如管理剖析器所述。

結合擷取時間和查詢時間正規化

查詢應該一律使用查詢時間整合剖析器，例如 _Im_Dns，來利用查詢時間和擷取時間正規化。 原生正規化資料表會使用虛設常式剖析器包含在查詢的資料中。

虛設常式剖析器是查詢時間剖析器，用來作為正規化資料表的輸入。 由於正規化資料表不需要剖析，因此虛設常式剖析器會有效率。

虛設常式剖析器會將檢視呈現給新增至 ASIM 原生資料表的呼叫查詢：

• 別名 - 為了不浪費重複值的儲存空間，別名不會儲存在 ASIM 原生資料表中，而且會在查詢時由虛設常式剖析器新增。
• 常數值 - 例如別名，而且基於相同原因，ASIM 正規化資料表也不會儲存常數值，例如 EventSchema。 虛設常式剖析器會新增這些欄位。 ASIM 正規化資料表是由許多來源共用，而擷取時間剖析器可以變更其輸出版本。 因此，EventProduct、EventVendor 和 EventSchemaVersion 等欄位不是常數，而且不會由虛設常式剖析器新增。
• 篩選 - 虛設常式剖析器也會實作篩選。 雖然 ASIM 原生資料表不需要篩選剖析器就能達到更好的效能，但需要篩選以支援包含在整合剖析器中。
• 更新和修正程式 - 使用虛設常式剖析器可加快修正問題的速度。 例如，如果數據擷取不正確，擷取期間可能尚未從訊息字段擷取IP位址。 IP 位址可以在查詢時由虛設常式剖析器擷取。

使用自訂正規化資料表時，請建立您自己的虛設常式剖析器來實作這項功能，並將其新增至整合剖析器，如管理剖析器所述。 使用原生資料表的虛設常式剖析器，例如 DNS 原生資料表虛設常式剖析器及其篩選對應項目作為起點。 如果您的資料表是半正規化，請使用虛設常式剖析器來執行所需的額外剖析和正規化。

在開發 ASIM 剖析器中深入了解如何撰寫剖析器。

實作擷取時間正規化

若要將擷取的數據正規化，您必須使用 資料收集規則 （DCR） 。 實作 DCR 的程序取決於用來擷取資料的方法。 如需詳細資訊，請參閱在Microsoft Sentinel 中擷取時間轉換或自定義數據一文。

KQL 轉換查詢是 DCR 的核心。 DCR 中使用的 KQL 版本與 Microsoft Sentinel 中其他地方所使用的版本稍有不同，以因應管線事件處理的需求。 因此，您必須修改任何查詢時間剖析器，以在 DCR 中使用它。 如需差異的詳細資訊，以及如何將查詢時間剖析器轉換成擷取時間剖析器，請參閱 DCR KQL 限制。

下一步

如需詳細資訊，請參閱

• 正規化進階安全性資訊模型 (ASIM)
• 進階安全性資訊模型 (ASIM) 剖析器
• 在 Microsoft Sentinel 中擷取資料時轉換或自訂該資料