擷取時間正規化
查詢時間剖析
如同 ASIM 概觀中的討論,Microsoft Sentinel 會使用查詢時間和內嵌時間正規化來利用每個專案的優點。
若要使用查詢時間正規化,請使用 查詢時間統一剖析器,例如 _Im_Dns 在查詢中。 使用查詢時間剖析正規化有數個優點:
- 保留原始格式:查詢時間正規化不需要修改資料,因此保留來源所傳送的原始資料格式。
- 避免潛在的重複儲存體:由於標準化資料只是原始資料的檢視,因此不需要同時儲存原始和正規化的資料。
- 更容易開發:由於查詢時間剖析器呈現資料的檢視,且不會修改資料,因此很容易開發。 開發、測試和修正剖析器都可以在現有資料上完成。 此外,探索到問題時可以修正剖析器,而修正程式會套用至現有的資料。
擷取時間剖析
雖然 ASIM 查詢時間剖析器已經過優化,但查詢時間剖析可能會讓查詢變慢,特別是在大型資料集上。
擷取時間剖析可讓事件轉換成標準化架構,因為它們擷取到 Microsoft Sentinel,並以標準化格式儲存它們。 擷取時間剖析較不具彈性,而且剖析器較難以開發,但因為資料是以標準化格式儲存,因此可提供更佳的效能。
標準化資料可以儲存在 Microsoft Sentinel 的原生標準化資料表中,或是使用 ASIM 架構的自訂資料表中。 自訂資料表,其架構接近 ASIM 架構,但與 ASIM 架構不同,也提供擷取時間正規化的效能優點。
目前,ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地:
- 稽核事件架構的ASimAuditEventLogs。
- 驗證架構的ASimAuthenticationEventLogs。
- DNS架構的ASimDnsActivityLogs。
- 網路會話架構的ASimNetworkSessionLogs
- Web 會話架構的ASimWebSessionLogs。
原生正規化資料表的優點是它們預設包含在 ASIM 整合剖析器中。 自訂標準化資料表可以包含在整合剖析器中,如 管理剖析器中所述。
結合擷取時間和查詢時間正規化
查詢應該一律使用 查詢時間統一剖析器,例如 _Im_Dns 利用查詢時間和擷取時間正規化。 原生正規化資料表會使用存根剖析器包含在查詢的資料中。
存根剖析器是查詢時間剖析器,用來做為標準化資料表的輸入。 由於標準化資料表不需要剖析,所以存根剖析器有效率。
存根剖析器會將檢視呈現至呼叫查詢,以新增至 ASIM 原生資料表:
- 別名 - 為了不浪費重複值的儲存空間,別名不會儲存在 ASIM 原生資料表中,而且會在存根剖析器查詢時新增。
- 常數值 - 如同別名,而且基於相同的原因,ASIM 正規化資料表也不會儲存常數值,例如 EventSchema。 存根剖析器會新增這些欄位。 ASIM 正規化資料表是由許多來源共用,而擷取時間剖析器可以變更其輸出版本。 因此, EventProduct、 EventVendor和 EventSchemaVersion 等欄位不是常數,而且不會由存根剖析器新增。
- 篩選 - 存根剖析器也會實作篩選。 雖然 ASIM 原生資料表不需要篩選剖析器才能達到更好的效能,但需要篩選才能支援在整合剖析器中包含。
- 更新和修正- 使用存根剖析器可加快修正問題的速度。 例如,如果資料擷取不正確,在內嵌期間,IP 位址可能尚未從訊息欄位擷取。 IP 位址可以在查詢時間由存根剖析器擷取。
使用自訂標準化資料表時,請建立您自己的存根剖析器來實作這項功能,並將它新增至整合剖析器,如 管理剖析器中所述。 使用原生資料表的存根剖析器,例如 DNS 原生資料表存根剖析器和 其 篩選對應專案作為起點。 如果您的資料表是半正規化,請使用存根剖析器來執行所需的其他剖析和正規化。
深入瞭解如何在 開發 ASIM 剖析器中撰寫剖析器。
實作擷取時間正規化
若要將擷取的資料正規化,您必須使用 資料收集規則 (DCR) 。 實作 DCR 的程式取決於用來內嵌資料的方法。 如需詳細資訊,請參閱 Microsoft Sentinel 中擷取時間轉換或自訂資料一文。
KQL轉換查詢是 DCR 的核心。 DCR 中使用的 KQL 版本與 Microsoft Sentinel 中其他位置所使用的版本稍有不同,以因應管線事件處理的需求。 因此,您必須修改任何查詢時間剖析器,才能在 DCR 中使用。 如需差異的詳細資訊,以及如何將查詢時間剖析器轉換成擷取時間剖析器,請參閱 DCR KQL 限制。
下一步
如需詳細資訊,請參閱