Partekatu honen bidez:


Normalización en tiempo de ingesta

Análisis en tiempo de consulta

Como vimos en la introducción a ASIM, Microsoft Sentinel usa el tiempo de consulta y la normalización en tiempo de ingesta para sacar partido de ambos.

Para usar la normalización en tiempo de consulta, utilice en sus consultas los analizadores de unificación en tiempo de consulta, como _Im_Dns. La normalización mediante el análisis en tiempo de consulta tiene varias ventajas:

  • Conservación del formato original: La normalización en tiempo de consulta no requiere modificar ningún dato, de forma que se conserva el formato de datos original enviado por el origen.
  • Eliminación de almacenamientos duplicados: dado que los datos normalizados solo son una vista de los datos originales, no es necesario almacenar los datos originales por un lado y los normalizados por otro.
  • Desarrollo más sencillo: dado que los analizadores en tiempo de consulta presentan una vista de los datos y no modifican ningún dato, son más fáciles de desarrollar. Se pueden desarrollar, comprobar y corregir analizadores en los datos existentes. Además, los analizadores se pueden corregir cuando se detecta un problema, y la corrección se aplicará a los datos existentes.

Análisis en tiempo de ingesta

Si bien los analizadores en tiempo de consulta de ASIM están optimizados, el análisis en tiempo de consulta puede ralentizar las consultas, especialmente en conjuntos de datos muy voluminosos.

El análisis en tiempo de ingesta permite transformar eventos en un esquema normalizado a medida que se ingieren en Microsoft Sentinel, así como almacenarlos en un formato normalizado. El análisis en tiempo de ingesta es menos flexible y los analizadores son más difíciles de desarrollar, pero dado que los datos se almacenan en un formato normalizado, ofrece un mejor rendimiento.

Los datos normalizados se pueden almacenar en tablas normalizadas nativas de Microsoft Sentinel o en una tabla personalizada que use un esquema de ASIM. Una tabla personalizada que tiene un esquema parecido —pero no idéntico— a un esquema de ASIM también reporta las ventajas de rendimiento de la normalización en tiempo de ingesta.

Actualmente, ASIM admite las siguientes tablas normalizadas como destino para la normalización en tiempo de ingesta:

La ventaja de las tablas normalizadas nativas reside en que se incluyen de forma predeterminada en los analizadores de unificación de ASIM. Se pueden incluir tablas normalizadas personalizadas en los analizadores de unificación, como se describe en Administración de analizadores.

Combinación de normalización en tiempo de ingesta y en tiempo de consulta

Las consultas siempre deben usar los analizadores de unificación en tiempo de consulta, como _Im_Dns, para sacar partido de la normalización tanto en tiempo de consulta como en tiempo de ingesta. Se incluyen tablas normalizadas nativas en los datos consultados mediante un analizador de código auxiliar.

El analizador de código auxiliar es un analizador en tiempo de consulta que usa como entrada la tabla normalizada. Las tablas normalizadas no requieren análisis, de ahí la eficacia del analizador de código auxiliar.

El analizador del código auxiliar muestra a la consulta de llamada una vista que se agrega a la tabla nativa de ASIM:

  • Alias: para no desperdiciar espacio almacenando valores repetidos, los alias no se almacenan en las tablas nativas de ASIM, sino que los agregan los analizadores de código auxiliar en tiempo de consulta.
  • Valores constantes: al igual que los alias y, por el mismo motivo, las tablas normalizadas de ASIM tampoco almacenan valores constantes como EventSchema. El analizador de código auxiliar agrega esos campos. Una tabla normalizada de ASIM se comparte entre muchos orígenes, y los analizadores en tiempo de ingesta pueden cambiar su versión de salida. Por lo tanto, campos como EventProduct, EventVendor y EventSchemaVersion no son constantes y no los agrega el analizador de código auxiliar.
  • Filtrado: el analizador de código auxiliar también implementa filtrado. Aunque las tablas nativas de ASIM no necesitan analizadores de filtrado para lograr un mejor rendimiento, el filtrado es necesario para admitir la inclusión en el analizador de unificación.
  • Actualizaciones y correcciones: el uso de un analizador de código auxiliar permite corregir problemas más rápidamente. Por ejemplo, si los datos se ingieren incorrectamente, puede que una dirección IP no se haya extraído del campo de mensaje durante la ingesta. El analizador de código auxiliar puede extraer la dirección IP en tiempo de consulta.

Cuando use tablas normalizadas personalizadas, cree su propio analizador de código auxiliar para implementar esta funcionalidad y agréguelo a los analizadores de unificación, como se describe en Administración de analizadores. Use como punto de partida el analizador de código auxiliar con la tabla nativa, como el analizador de código auxiliar de tabla nativa DNS y su equivalente de filtrado. Si la tabla está seminormalizada, use el analizador de código auxiliar para realizar los análisis y normalizaciones adicionales necesarios.

Obtenga más información sobre cómo escribir analizadores en Desarrollo de analizadores de ASIM.

Implementación de normalización en tiempo de ingesta

Para normalizar los datos en tiempo de ingesta, deberá usar una regla de recopilación de datos (DCR). El procedimiento para implementar una regla DCR depende del método empleado para ingerir los datos. Para obtener más información, vea el artículo Transformación o personalización de datos en tiempo de ingesta en Microsoft Sentinel.

El elemento central de una regla DCR es una consulta de transformación KQL. La versión de KQL que se usa en una regla DCR es ligeramente diferente de la versión usada en el resto de Microsoft Sentinel para, así, adaptarse a los requisitos de procesamiento de eventos de canalización. Por lo tanto, deberá modificar cualquier analizador en tiempo de consulta para usarlo en una regla DCR. Para obtener más información sobre las diferencias y cómo convertir un analizador en tiempo de consulta en un analizador en tiempo de ingesta, lea las limitaciones de KQL de regla DCR.

Pasos siguientes

Para más información, consulte: