Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Analizowanie czasu zapytania
W ramach dyskusji na temat przeglądu ASIM, usługa Microsoft Sentinel używa zarówno normalizacji w czasie zapytania, jak i normalizacji w czasie przetwarzania, aby korzystać z zalet każdego z nich.
Aby użyć normalizacji czasu zapytania, użyj jednoczących analizatorów czasu zapytania, takich jak , w swoich zapytaniach. Normalizacja przy użyciu analizowania czasu zapytania ma kilka zalet:
- Zachowanie oryginalnego formatu: normalizacja czasu kwerendy nie wymaga modyfikacji danych, zachowując w ten sposób oryginalny format danych wysyłany przez źródło.
- Unikanie konieczności zduplikowanego przechowywania: ponieważ znormalizowane dane stanowią jedynie widok oryginalnych danych, nie ma potrzeby przechowywania zarówno danych oryginalnych, jak i znormalizowanych.
- Łatwiejsze programowanie: ponieważ analizatory czasu zapytań przedstawiają widok danych i nie modyfikują danych, można je łatwo opracowywać. Tworzenie, testowanie i naprawianie analizatora można wykonać na istniejących danych. Ponadto analizatory można rozwiązać po wykryciu problemu, a poprawka jest stosowana do istniejących danych.
Analizowanie czasu przetwarzania danych
Podczas gdy analizatory czasu zapytania ASIM są zoptymalizowane, analizowanie czasu zapytań może spowolnić zapytania, zwłaszcza w przypadku dużych zestawów danych.
Analizowanie czasu pozyskiwania umożliwia przekształcanie zdarzeń do znormalizowanego schematu podczas pozyskiwania ich do usługi Microsoft Sentinel i przechowywania ich w znormalizowanym formacie. Analizowanie czasu pozyskiwania jest mniej elastyczne, a analizatory są trudniejsze do opracowania, ale ponieważ dane są przechowywane w znormalizowanym formacie, zapewnia lepszą wydajność.
Znormalizowane dane mogą być przechowywane w natywnych tabelach znormalizowanych usługi Microsoft Sentinel lub w tabeli niestandardowej korzystającej ze schematu ASIM. Tabela niestandardowa, która ma schemat zbliżony, ale nie identyczny, do schematu ASIM, również zapewnia korzyści wydajnościowe związane z normalizacją w czasie pozyskiwania.
Obecnie usługa ASIM obsługuje następujące natywne znormalizowane tabele jako miejsce docelowe normalizacji czasu pozyskiwania:
- ASimAuditEventLogs dla schematu zdarzenia audytu.
- ASimAuthenticationEventLogs dla schematu uwierzytelniania .
- ASimDhcpEventLogs dla schematu zdarzeń DHCP .
- ASimDnsActivityLogs dla schematu DNS .
- ASimFileEventLogs dla schematu zdarzenia pliku .
- ASimNetworkSessionLogs dla schematu sesji sieciowej .
- ASimProcessEventLogs dla schematu zdarzenia procesu .
- ASimRegistryEventLogs dla schematu Zdarzenia Rejestru.
- ASimUserManagementActivityLogs dla schematu zarządzania użytkownikami .
- ASimWebSessionLogs dla schematu sesji sieci Web.
Zaletą natywnych znormalizowanych tabel jest to, że są one domyślnie uwzględniane w analizatorach ujednolicania karty ASIM. Niestandardowe znormalizowane tabele można uwzględnić w ujednolicających analizatorach, zgodnie z opisem w temacie Zarządzanie analizatorami.
Łączenie normalizacji czasu pobierania i czasu zapytania
Zapytania powinny zawsze używać analizatorów łączących zapytania w czasie ich wykonywania, takich jak _Im_Dns, aby skorzystać zarówno z normalizacji podczas czasu zapytania, jak i czasu pozyskiwania. Natywne znormalizowane tabele są uwzględniane w zapytanych danych przy użyciu analizatora wycinków.
Analizator wycinków jest analizatorem czasu zapytania, który używa jako danych wejściowych znormalizowanej tabeli. Ponieważ znormalizowana tabela nie wymaga analizowania, analizator wycinków jest wydajny.
Analizator wycinków przedstawia widok dla wywołującego zapytania, który wzbogaca tabelę natywną ASIM.
- Aliasy — aby nie marnować miejsca na powtarzanie wartości, aliasy nie są przechowywane w tabelach natywnych ASIM i są dodawane w czasie zapytania przez analizatory wycinków.
- Stałe wartości — Podobnie jak aliasy i z tego samego powodu, znormalizowane tabele ASIM również nie przechowują stałych wartości, takich jak EventSchema. Analizator wycinków dodaje te pola. Znormalizowana tabela ASIM jest udostępniana przez wiele źródeł, a analizatory czasu przetwarzania danych mogą zmieniać swoją wersję wyjściową. W związku z tym pola, takie jak EventProduct, EventVendor i EventSchemaVersion , nie są stałe i nie są dodawane przez analizator wycinków.
- Filtrowanie — analizator wycinków implementuje również filtrowanie. Chociaż natywne tabele ASIM nie wymagają analizatorów filtrowania do uzyskania lepszej wydajności, filtrowanie jest potrzebne, aby umożliwić włączenie do analizatora ujednolicającego.
- Aktualizacje i poprawki — korzystanie z analizatora wycinków umożliwia szybsze rozwiązywanie problemów. Jeśli na przykład dane zostały pozyskane nieprawidłowo, adres IP mógł nie zostać wyodrębniony z pola komunikatu podczas tego procesu. Adres IP można wyodrębnić za pomocą analizatora wycinków w czasie zapytania.
W przypadku korzystania z niestandardowych znormalizowanych tabel utwórz własny analizator wycinków w celu zaimplementowania tej funkcji i dodaj go do ujednolicających analizatorów zgodnie z opisem w temacie Zarządzanie analizatorami. Użyj analizatora wycinków dla tabeli natywnej, na przykład analizatora wycinkowego tabeli DNS i jego odpowiednika filtrowania, jako punktu wyjścia. Jeśli tabela jest częściowo znormalizowana, użyj analizatora wycinków, aby wykonać dodatkowe analizowanie i normalizację wymagane.
Dowiedz się więcej na temat pisania analizatorów w temacie Tworzenie analizatorów ASIM.
Implementowanie normalizacji momentu wsadu
Aby znormalizować dane przy pobieraniu, należy użyć reguły zbierania danych (DCR). Procedura implementowania modelu DCR zależy od metody używanej do pozyskiwania danych. Aby uzyskać więcej informacji, zobacz artykuł Przekształcanie lub dostosowywanie danych w czasie pozyskiwania w usłudze Microsoft Sentinel.
Zapytanie przekształcenia KQL jest rdzeniem DCR. Wersja KQL stosowana w DCR jest nieco inna niż wersja używana gdzie indziej w Microsoft Sentinel, aby spełnić wymagania dotyczące przetwarzania zdarzeń w potoku. W związku z tym należy zmodyfikować dowolny analizator czasu zapytania, aby używać go w kontrolerze domeny. Aby uzyskać więcej informacji na temat różnic i sposobu konwertowania analizatora czasu zapytania na analizator czasu pozyskiwania, przeczytaj o ograniczeniach DCR KQL.
Następne kroki
Aby uzyskać więcej informacji, zobacz: