Alma süresi normalleştirme

Sorgu zamanı ayrıştırma

ASIM'e genel bakış bölümünde açıklandığı gibi, Microsoft Sentinel her birinin avantajlarından yararlanmak için hem sorgu süresini hem de alma süresini normalleştirmeyi kullanır.

Sorgu süresi normalleştirmesini kullanmak için, sorgularınızda olduğu gibi _Im_Dnsayrıştırıcıları birleştiren sorgu süresini kullanın. Sorgu süresi ayrıştırma kullanarak normalleştirmenin çeşitli avantajları vardır:

• Özgün biçimi koruma: Sorgu süresi normalleştirmesi, verilerin değiştirilmesini gerektirmediğinden kaynak tarafından gönderilen özgün veri biçimini korur.
• Yinelenen depolama olasılığından kaçınma: Normalleştirilmiş veriler yalnızca özgün verilerin bir görünümü olduğundan, hem özgün hem de normalleştirilmiş verilerin depolanması gerekmez.
• Daha kolay geliştirme: Sorgu zamanı ayrıştırıcıları verilerin bir görünümünü sunduğundan ve verileri değiştirmediğinden kolayca geliştirilirler. Ayrıştırıcı geliştirme, test etme ve düzeltme işlemleri mevcut verilerde gerçekleştirilebilir. Ayrıca, bir sorun bulunduğunda ayrıştırıcılar düzeltilebilir ve düzeltme mevcut verilere uygulanır.

Alma süresi ayrıştırma

ASIM sorgu süresi ayrıştırıcıları iyileştirilmiş olsa da, sorgu süresi ayrıştırma özellikle büyük veri kümelerinde sorguları yavaşlatabilir.

Alma süresi ayrıştırma, olayları Microsoft Sentinel'e alınan ve normalleştirilmiş bir biçimde depolayan normalleştirilmiş bir şemaya dönüştürmeyi sağlar. Alma süresi ayrıştırma daha az esnektir ve ayrıştırıcıların geliştirilmesi zordur, ancak veriler normalleştirilmiş bir biçimde depolandığından daha iyi performans sunar.

Normalleştirilmiş veriler Microsoft Sentinel'in yerel normalleştirilmiş tablolarında veya ASIM şeması kullanan özel bir tabloda depolanabilir. ASIM şemasına yakın ancak aynı olmayan bir şemaya sahip olan özel tablo, alma süresi normalleştirmesinin performans avantajlarını da sağlar.

ASIM şu anda alma süresi normalleştirmesi için hedef olarak aşağıdaki yerel normalleştirilmiş tabloları destekler:

• Denetim Olayı şeması için ASimAuditEventLogs.
• Kimlik Doğrulama şeması için ASimAuthenticationEventLogs.
• DNS şeması için ASimDnsActivityLogs.
• Ağ Oturumu şeması için ASimNetworkSessionLogs
• Web Oturumu şeması için ASimWebSessionLogs.

Yerel normalleştirilmiş tabloların avantajı, ASIM birleştirici ayrıştırıcılarına varsayılan olarak dahil edilmeleridir. Ayrıştırıcıları Yönetme bölümünde açıklandığı gibi, özel normalleştirilmiş tablolar birleştirici ayrıştırıcılara eklenebilir.

Alma süresini ve sorgu süresi normalleştirmesini birleştirme

Sorgular her zaman hem sorgu süresinden hem de alma süresi normalleştirmeden yararlanmak için _Im_Dns sorgu süresini birleştiren ayrıştırıcıları kullanmalıdır. Yerel normalleştirilmiş tablolar, saplama ayrıştırıcısı kullanılarak sorgulanan verilere eklenir.

Saptama ayrıştırıcısı, normalleştirilmiş tabloya giriş olarak kullanan bir sorgu zaman ayrıştırıcısıdır. Normalleştirilmiş tablo ayrıştırma gerektirmediğinden saplama ayrıştırıcısı verimlidir.

Saptama ayrıştırıcısı, ASIM yerel tablosuna ekleyen çağrı sorgusuna bir görünüm sunar:

• Diğer adlar - Yinelenen değerlerde depolama alanını boşa harcamamak için diğer adlar ASIM yerel tablolarında depolanmaz ve saptama ayrıştırıcıları tarafından sorgu zamanında eklenir.
• Sabit değerler - Diğer adlar gibi ve aynı nedenle ASIM normalleştirilmiş tabloları da EventSchema gibi sabit değerleri depolamaz. Saplama ayrıştırıcısı bu alanları ekler. ASIM normalleştirilmiş tablosu birçok kaynak tarafından paylaşılır ve alma zamanı ayrıştırıcıları çıkış sürümlerini değiştirebilir. Bu nedenle EventProduct, EventVendor ve EventSchemaVersion gibi alanlar sabit değildir ve saplama ayrıştırıcısı tarafından eklenmez.
• Filtreleme - saplama ayrıştırıcısı filtreleme de uygular. ASIM yerel tablolarının daha iyi performans elde etmek için filtre ayrıştırıcılarına ihtiyacı olmasa da, birleştirici ayrıştırıcıya eklenmesini desteklemek için filtreleme gereklidir.
• Güncelleştirmeler ve düzeltmeler - Saptama ayrıştırıcısı kullanmak sorunları daha hızlı çözmenizi sağlar. Örneğin veriler yanlış alındıysa, alma sırasında ileti alanından bir IP adresi ayıklanmamış olabilir. IP adresi, saplama ayrıştırıcısı tarafından sorgu zamanında ayıklanabilir.

Özel normalleştirilmiş tabloları kullanırken, bu işlevselliği uygulamak için kendi saplama ayrıştırıcınızı oluşturun ve Ayrıştırıcıları Yönetme bölümünde açıklandığı gibi birleştirici ayrıştırıcılara ekleyin. Başlangıç noktası olarak DNS yerel tablo saptama ayrıştırıcısı ve filtreleme karşılık gelen gibi yerel tablo için saplama ayrıştırıcısını kullanın. Tablonuz yarı normalleştirilmişse, ek ayrıştırma ve normalleştirmeyi gerçekleştirmek için saptama ayrıştırıcısını kullanın.

ASIM ayrıştırıcıları geliştirme bölümünde ayrıştırıcı yazma hakkında daha fazla bilgi edinin.

Alma süresi normalleştirmesi uygulama

Alma sırasında verileri normalleştirmek için Veri Toplama Kuralı (DCR) kullanmanız gerekir. DCR'yi uygulama yordamı, verileri almak için kullanılan yönteme bağlıdır. Daha fazla bilgi için Microsoft Sentinel'de veri alımı sırasında verileri dönüştürme veya özelleştirme makalesine bakın.

KQL dönüştürme sorgusu, DCR'nin çekirdeğidir. DCR'lerde kullanılan KQL sürümü, işlem hattı olay işleme gereksinimlerini karşılamak için Microsoft Sentinel'in başka bir yerinde kullanılan sürümden biraz farklıdır. Bu nedenle, bir DCR'de kullanmak için herhangi bir sorgu zamanı ayrıştırıcısını değiştirmeniz gerekir. Farklar ve sorgu zamanı ayrıştırıcısını alma zamanı ayrıştırıcısına dönüştürme hakkında daha fazla bilgi için DCR KQL sınırlamaları hakkında bilgi edinin.

Sonraki adımlar

Daha fazla bilgi için bkz.

• Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM)
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Microsoft Sentinel'de veri alımı sırasında verileri dönüştürme veya özelleştirme