分享方式:


擷取時間正規化

查詢時間剖析

ASIM 概觀所述,Microsoft Sentinel 會使用查詢時間和擷取時間正規化來獲得各自的優點。

若要使用查詢時間正規化,請使用查詢時間整合剖析器,例如查詢中的 _Im_Dns。 使用查詢時間剖析正規化有數個優點:

  • 保留原始格式:查詢時間正規化不需要修改資料,因此會保留來源所傳送的原始資料格式。
  • 避免潛在重複儲存體:因為正規化資料只是原始資料的檢視,因此不需要同時儲存原始和正規化的資料。
  • 更容易開發:由於查詢時間剖析器呈現資料的檢視,而且不會修改資料,因此很容易開發。 開發、測試和修正剖析器全都可以在現有資料上完成。 此外,當發現問題時,可以修正剖析器,而修正程式會套用至現有的資料。

擷取時間剖析

雖然 ASIM 查詢時間剖析器已最佳化,但查詢時間剖析可能會讓查詢變慢,特別是在大型資料集上。

擷取時間剖析可讓事件轉換成正規化結構描述,因為其會擷取至 Microsoft Sentinel,並以正規化格式儲存。 擷取時間剖析較不具彈性且剖析器較難開發,但由於資料是以正規化格式儲存,因此可提供更佳的效能。

正規化資料可以儲存在 Microsoft Sentinel 的原生正規化資料表,或是使用 ASIM 結構描述的自訂資料表中。 自訂資料表,其結構描述接近 ASIM 結構描述但不相同,也提供擷取時間正規化的效能優點。

目前,ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地:

原生正規化資料表的優點是預設包含在 ASIM 整合剖析器中。 自訂正規化資料表可以包含在整合剖析器中,如管理剖析器所述。

結合擷取時間和查詢時間正規化

查詢應該一律使用查詢時間整合剖析器,例如 _Im_Dns,來利用查詢時間和擷取時間正規化。 原生正規化資料表會使用虛設常式剖析器包含在查詢的資料中。

虛設常式剖析器是查詢時間剖析器,用來作為正規化資料表的輸入。 由於正規化資料表不需要剖析,因此虛設常式剖析器會有效率。

虛設常式剖析器會將檢視呈現給新增至 ASIM 原生資料表的呼叫查詢:

  • 別名 - 為了不浪費重複值的儲存空間,別名不會儲存在 ASIM 原生資料表中,而且會在查詢時由虛設常式剖析器新增。
  • 常數值 - 例如別名,而且基於相同原因,ASIM 正規化資料表也不會儲存常數值,例如 EventSchema。 虛設常式剖析器會新增這些欄位。 ASIM 正規化資料表是由許多來源共用,而擷取時間剖析器可以變更其輸出版本。 因此,EventProductEventVendorEventSchemaVersion 等欄位不是常數,而且不會由虛設常式剖析器新增。
  • 篩選 - 虛設常式剖析器也會實作篩選。 雖然 ASIM 原生資料表不需要篩選剖析器就能達到更好的效能,但需要篩選以支援包含在整合剖析器中。
  • 更新和修正程式 - 使用虛設常式剖析器可加快修正問題的速度。 例如,如果資料擷取不正確,擷取期間可能尚未從訊息欄位擷取 IP 位址。 IP 位址可以在查詢時由虛設常式剖析器擷取。

使用自訂正規化資料表時,請建立您自己的虛設常式剖析器來實作這項功能,並將其新增至整合剖析器,如管理剖析器所述。 使用原生資料表的虛設常式剖析器,例如 DNS 原生資料表虛設常式剖析器及其篩選對應項目作為起點。 如果您的資料表是半正規化,請使用虛設常式剖析器來執行所需的額外剖析和正規化。

開發 ASIM 剖析器中深入了解如何撰寫剖析器。

實作擷取時間正規化

若要在擷取時將資料正規化,您必須使用資料收集規則 (DCR)。 實作 DCR 的程序取決於用來擷取資料的方法。 如需詳細資訊,請參閱在 Microsoft Sentinel 中擷取資料時轉換或自訂該資料一文。

KQL 轉換查詢是 DCR 的核心。 DCR 中使用的 KQL 版本與 Microsoft Sentinel 中其他地方所使用的版本稍有不同,以因應管線事件處理的需求。 因此,您必須修改任何查詢時間剖析器,才能在 DCR 中使用。 如需差異的詳細資訊,以及如何將查詢時間剖析器轉換成擷取時間剖析器,請參閱 DCR KQL 限制

下一步

如需詳細資訊,請參閱