查詢時間解析
如同 ASIM 概述中所述,Microsoft Sentinel 同時使用查詢時間與 inest time 正規化,以發揮兩者的優勢。
要使用查詢時間正規化,請使用查詢 時間統一解析器,例如 _Im_Dns 你的查詢中。 使用查詢時間解析進行正規化有多項優點:
- 保留原始格式:查詢時間正規化不需修改資料,因此保留來源所傳送的原始資料格式。
- 避免潛在的重複儲存:由於正規化資料僅是原始資料的視圖,無需同時儲存原始資料與正規化資料。
- 開發更簡單:由於查詢時間解析器呈現資料視圖,且不修改資料,因此開發起來相當簡單。 開發、測試和修復解析器都可以在現有資料上完成。 此外,當發現問題時,解析器可以被修正,並將修正套用到現有資料上。
吸收時間解析
雖然 ASIM 查詢時間解析器有優化,但查詢時間解析可能會拖慢查詢速度,尤其是在大型資料集上。
導入時間解析能將事件轉換為正規化結構,並以正規化格式儲存在 Microsoft Sentinel 中。 導入時間解析較不靈活,解析器較難開發,但由於資料以正規化格式儲存,效能較佳。
正規化資料可以儲存在 Microsoft Sentinel 的原生正規化資料表中,或是使用 ASIM 架構的自訂資料表中。 一個自訂表格的結構結構接近但不完全相同,也能帶來時間正規化的效能優勢。
目前,ASIM 支援以下原生正規化表格作為導入時間正規化的目的地:
- ASimAuditEventLogs 用於 審計事件 結構。
- ASimAuthenticationEventLogs 用於 認證 架構。
- 用於 DHCP 事件結構的 ASimDhcpEventLogs。
- ASimDnsActivityLogs 用於 DNS 架構。
- ASimFileEventLogs 用於 檔案事件 結構。
- ASimNetworkSessionLogs 用於 網路會話 架構。
- ASimProcessEventLogs 用於 程序事件 結構。
- ASimRegistryEventLogs 用於 登錄檔事件 結構。
- ASimUserManagementActivityLogs 用於 使用者管理 結構。
- ASimWebSessionLogs 用於 網頁會話 結構。
原生正規化資料表的優點是它們預設包含在 ASIM 統一解析器中。 自訂正規化資料表可包含在統一解析器中,詳見 管理解析器。
結合導入時間與查詢時間正規化
查詢應始終使用 查詢時間統一解析器,例如 _Im_Dns 同時利用查詢時間與擷取時間正規化。 原生正規化資料表透過存根解析器包含在查詢資料中。
存根解析器是一種查詢時間解析器,輸入是正規化資料表。 由於正規化表不需要解析,存根解析器效率較高。
存根解析器會為呼叫查詢提供一個檢視,並向 ASIM 原生資料表加進:
- 別名 - 為了避免浪費重複值的儲存空間,別名不會儲存在 ASIM 原生資料表中,而是由存根解析器在查詢時加入。
- 常數值 ——就像別名一樣,ASIM 正規化資料表也不會儲存像 EventSchema 這類常數值。 存根解析器會加入這些欄位。 ASIM 正規化表被多個來源共用,且 ingest time 解析器可以更改其輸出版本。 因此,像 EventProduct、 EventVendor 和 EventSchemaVersion 這類欄位並非常數,且存根分析器不會新增。
- 過濾 ——存根解析器同時實作過濾功能。 雖然 ASIM 原生資料表不需要過濾解析器來提升效能,但為了支援整合解析器中的包含,則需要過濾。
- 匯報與修正 - 使用存根解析器能更快解決問題。 例如,如果資料被錯誤地擷取,擷取時可能沒有從訊息欄位擷取 IP 位址。 存根解析器可在查詢時擷取 IP 位址。
使用自訂正規化資料表時,請自行建立存根解析器來實作此功能,並依照 管理解析器中所述加入統一解析器。 以原生資料表的存根解析器為起點,例如 DNS 原生資料表存根解析器 及其 過濾對應工具。 如果你的表格是半正規化的,可以使用存根解析器進行額外的解析和正規化。
想了解更多關於撰寫解析器的資訊,請參閱 《開發 ASIM 解析器》。
實作導入時間正規化
要在擷取時標準化資料,你需要使用 DCR (的資料收集規則) 。 DCR 的實作程序取決於所採用的資料擷取方法。 欲了解更多資訊,請參閱文章《在 Microsoft Sentinel 中擷取時轉換或自訂資料》。
KQL 轉換查詢是 DCR 的核心。 DCR 所使用的 KQL 版本與 Microsoft Sentinel 其他地方的版本略有不同,以因應管線事件處理的需求。 因此,你需要修改任何查詢時解析器來使用它在 DCR 中。 欲了解更多差異,以及如何將查詢時解析器轉換為擷取時間解析器,請閱讀 DCR KQL 限制。
後續步驟
如需詳細資訊,請參閱: