Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Analyse der Abfragezeit
Wie in der ASIM-Übersicht erläutert, verwendet Microsoft Sentinel sowohl die Abfragezeit als auch die Erfassungszeitnormalisierung, um die Vorteile der einzelnen Optionen zu nutzen.
Um die Abfragezeitnormalisierung zu verwenden, verwenden Sie die vereinheitlichenden Parser für die Abfragezeit, z _Im_Dns . B. in Ihren Abfragen. Die Normalisierung mithilfe der Abfragezeitanalyse hat mehrere Vorteile:
- Beibehalten des ursprünglichen Formats: Für die Abfragezeitnormalisierung müssen die Daten nicht geändert werden, sodass das ursprüngliche Datenformat beibehalten wird, das von der Quelle gesendet wird.
- Vermeiden von doppeltem Speicher: Da es sich bei den normalisierten Daten nur um eine Ansicht der ursprünglichen Daten handelt, ist es nicht erforderlich, sowohl die ursprünglichen als auch die normalisierten Daten zu speichern.
- Einfachere Entwicklung: Da Abfragezeitparser eine Ansicht der Daten darstellen und die Daten nicht ändern, sind sie einfach zu entwickeln. Das Entwickeln, Testen und Korrigieren eines Parsers kann auf vorhandenen Daten erfolgen. Darüber hinaus können Parser behoben werden, wenn ein Problem erkannt wird, und die Korrektur wird auf vorhandene Daten angewendet.
Erfassungszeitanalyse
Während ASIM-Abfragezeitparser optimiert sind, kann die Abfragezeitanalyse Abfragen verlangsamen, insbesondere bei großen Datasets.
Die Erfassungszeitanalyse ermöglicht das Transformieren von Ereignissen in ein normalisiertes Schema, wenn sie in Microsoft Sentinel erfasst und in einem normalisierten Format gespeichert werden. Die Analyse der Erfassungszeit ist weniger flexibel, und Parser sind schwieriger zu entwickeln, aber da die Daten in einem normalisierten Format gespeichert werden, bietet sie eine bessere Leistung.
Normalisierte Daten können in Microsoft Sentinel nativen normalisierten Tabellen oder in einer benutzerdefinierten Tabelle gespeichert werden, die ein ASIM-Schema verwendet. Eine benutzerdefinierte Tabelle, die über ein Schema verfügt, das einem ASIM-Schema ähnlich, aber nicht identisch ist, bietet auch die Leistungsvorteile der Normalisierung der Erfassungszeit.
Derzeit unterstützt ASIM die folgenden nativen normalisierten Tabellen als Ziel für die Normalisierung der Erfassungszeit:
- ASimAuditEventLogs für das Audit-Ereignisschema .
- ASimAuthenticationEventLogs für das Authentifizierungsschema .
- ASimDhcpEventLogs für das DHCP-Ereignisschema .
- ASimDnsActivityLogs für das DNS-Schema .
- ASimFileEventLogs für das Dateiereignisschema .
- ASimNetworkSessionLogs für das Netzwerksitzungsschema .
- ASimProcessEventLogs für das Prozessereignisschema .
- ASimRegistryEventLogs für das Registrierungsereignisschema .
- ASimUserManagementActivityLogs für das Benutzerverwaltungsschema .
- ASimWebSessionLogs für das Websitzungsschema .
Der Vorteil nativer normalisierter Tabellen besteht darin, dass sie standardmäßig in den vereinheitlichenden ASIM-Parsern enthalten sind. Benutzerdefinierte normalisierte Tabellen können in die vereinheitlichenden Parser eingeschlossen werden, wie unter Verwalten von Parsern erläutert.
Kombinieren der Erfassungszeit und der Abfragezeitnormalisierung
Abfragen sollten immer die vereinheitlichenden Parser für die Abfragezeit verwenden, z _Im_Dns . B. um sowohl die Abfragezeit als auch die Erfassungszeitnormalisierung zu nutzen. Native normalisierte Tabellen werden mithilfe eines Stubparsers in die abgefragten Daten eingeschlossen.
Der Stubparser ist ein Abfragezeitparser, der als Eingabe die normalisierte Tabelle verwendet. Da die normalisierte Tabelle keine Analyse erfordert, ist der Stubparser effizient.
Der Stubparser stellt eine Ansicht für die aufrufende Abfrage dar, die der nativen ASIM-Tabelle hinzugefügt wird:
- Aliase : Um keinen Speicher für wiederholte Werte zu verschwenden, werden Aliase nicht in nativen ASIM-Tabellen gespeichert und zur Abfragezeit von den Stubparsern hinzugefügt.
- Konstante Werte : Wie Aliase und aus demselben Grund speichern asim-normalisierte Tabellen auch keine konstanten Werte wie EventSchema. Der Stubparser fügt diese Felder hinzu. Die normalisierte ASIM-Tabelle wird von vielen Quellen gemeinsam genutzt, und Erfassungszeitparser können ihre Ausgabeversion ändern. Daher sind Felder wie EventProduct, EventVendor und EventSchemaVersion nicht konstant und werden vom Stubparser nicht hinzugefügt.
- Filterung : Der Stubparser implementiert auch die Filterung. Während native ASIM-Tabellen keine Filterparser benötigen, um eine bessere Leistung zu erzielen, ist die Filterung erforderlich, um die Aufnahme in den vereinheitlichenden Parser zu unterstützen.
- Updates und Fehlerbehebungen: Mithilfe eines Stubparsers können Probleme schneller behoben werden. Wenn z. B. Daten falsch erfasst wurden, wurde möglicherweise während der Erfassung keine IP-Adresse aus dem Nachrichtenfeld extrahiert. Die IP-Adresse kann vom Stubparser zur Abfragezeit extrahiert werden.
Wenn Sie benutzerdefinierte normalisierte Tabellen verwenden, erstellen Sie Einen eigenen Stubparser, um diese Funktionalität zu implementieren, und fügen Sie ihn den vereinheitlichenden Parsern hinzu, wie unter Verwalten von Parsern erläutert. Verwenden Sie den Stubparser für die native Tabelle, z. B. den DNS-Stub-Stubparser und dessen Filterentsprechung, als Ausgangspunkt. Wenn Ihre Tabelle halbnormalisiert ist, verwenden Sie den Stubparser, um die zusätzliche Analyse und Normalisierung durchzuführen, die erforderlich ist.
Weitere Informationen zum Schreiben von Parsern finden Sie unter Entwickeln von ASIM-Parsern.
Implementieren der Normalisierung der Erfassungszeit
Zum Normalisieren von Daten bei der Erfassung müssen Sie eine Datensammlungsregel (Data Collection Rule, DCR) verwenden. Das Verfahren zum Implementieren der DCR hängt von der Methode ab, die zum Erfassen der Daten verwendet wird. Weitere Informationen finden Sie im Artikel Transformieren oder Anpassen von Daten zur Erfassungszeit in Microsoft Sentinel.
Eine KQL-Transformationsabfrage ist der Kern einer DCR. Die in DCRs verwendete KQL-Version unterscheidet sich geringfügig von der Version, die an anderer Stelle in Microsoft Sentinel verwendet wird, um die Anforderungen der Pipelineereignisverarbeitung zu erfüllen. Daher müssen Sie jeden Abfragezeitparser so ändern, dass er in einem DCR verwendet wird. Weitere Informationen zu den Unterschieden und zum Konvertieren eines Abfragezeitparsers in einen Erfassungszeitparser finden Sie unter den DCR-KQL-Einschränkungen.
Nächste Schritte
Weitere Informationen finden Sie unter: