你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

引入时间规范化

查询时间分析

ASIM 概述中所述,Microsoft Sentinel使用查询时间和引入时间规范化来利用每个查询时间规范化的优点。

若要使用查询时间规范化,请使用 查询时间统一分析器,例如 _Im_Dns 在查询中。 使用查询时间分析进行规范化有几个优点:

  • 保留原始格式:查询时间规范化不需要修改数据,从而保留源发送的原始数据格式。
  • 避免潜在的重复存储:由于规范化数据只是原始数据的视图,因此无需同时存储原始数据和规范化数据。
  • 更易于开发:由于查询时间分析器提供数据视图且不修改数据,因此很容易开发。 开发、测试和修复分析程序都可以在现有数据上完成。 此外,当发现问题并应用于现有数据时,可以修复分析程序。

引入时间分析

虽然 ASIM 查询时间分析器已经过优化,但查询时间分析可能会减慢查询速度,尤其是在大型数据集上。

通过引入时间分析,可以将事件转换为规范化架构,因为它们被引入Microsoft Sentinel并将它们以规范化格式存储。 引入时间分析不太灵活,并且更难开发分析程序,但由于数据以规范化格式存储,因此性能更佳。

规范化数据可以存储在Microsoft Sentinel的本机规范化表中,也可以存储在使用 ASIM 架构的自定义表中。 具有接近(但不完全相同)ASIM 架构的自定义表还提供引入时间规范化的性能优势。

目前,ASIM 支持将以下本机规范化表作为引入时间规范化的目标:

本机规范化表的优点是它们默认包含在 ASIM 统一分析器中。 自定义规范化表可以包含在统一分析器中,如 管理分析器中所述。

引入时间和查询时间规范化相结合

查询应始终使用 查询时间统一分析器,例如 _Im_Dns 利用查询时间和引入时间规范化。 本机规范化表通过使用存根分析器包含在查询的数据中。

存根分析器是查询时间分析程序,它使用 作为规范化表的输入。 由于规范化表不需要分析,因此存根分析器非常高效。

存根分析器向添加到 ASIM 本机表的调用查询提供视图:

  • 别名 - 为了不浪费重复值的存储,别名不存储在 ASIM 本机表中,并在查询时由存根分析程序添加。
  • 常量值 - 与别名类似,出于同样的原因,ASIM 规范化表也不存储 EventSchema 等常量值。 存根分析器会添加这些字段。 ASIM 规范化表由许多源共享,引入时间分析程序可以更改其输出版本。 因此, EventProductEventVendorEventSchemaVersion 等字段不是固定的,也不会由存根分析器添加。
  • 筛选 - 存根分析器还实现筛选。 虽然 ASIM 本机表不需要筛选分析程序即可获得更好的性能,但需要筛选来支持在统一分析器中包含。
  • 汇报和修复 - 使用存根分析程序可以更快地修复问题。 例如,如果数据引入不正确,则引入期间可能未从消息字段提取 IP 地址。 存根分析程序可以在查询时提取 IP 地址。

使用自定义规范化表时,请创建自己的存根分析器来实现此功能,并将其添加到统一分析器,如 管理分析器中所述。 使用本机表的存根分析程序(例如 DNS 本机表存根分析程序 及其 筛选对应项)作为起点。 如果表是半规范化的,请使用存根分析程序执行所需的其他分析和规范化。

开发 ASIM 分析器中详细了解如何编写分析程序。

实现引入时间规范化

若要在引入时规范化数据,需要使用 数据收集规则 (DCR) 。 实现 DCR 的过程取决于用于引入数据的方法。 有关详细信息,请参阅在Microsoft Sentinel引入时转换或自定义数据一文。

KQL 转换查询是 DCR 的核心。 DCR 中使用的 KQL 版本与 Microsoft Sentinel 中其他位置使用的版本略有不同,以满足管道事件处理的要求。 因此,需要修改任何查询时分析程序才能在 DCR 中使用它。 有关差异以及如何将查询时间分析器转换为引入时间分析程序的详细信息,请阅读 DCR KQL 限制

后续步骤

有关更多信息,请参阅:

  • Last updated on