Käyttöajan normalisointi

Kyselyn ajan jäsentäminen

ASIM-yleiskatsauksessa keskustelun aikana Microsoft Sentinel käyttää sekä kyselyaikaa että sisäänottoajan normalisointia hyödyntääkseen kummankin etuja.

Jos haluat käyttää kyselyn ajan normalisointia, käytä kyselyaikaa jäsentäjien yhtenäistämiseen, kuten _Im_Dns kyselyissäsi. Normalisoinnilla kyselyajan jäsennystä käyttämällä on useita etuja:

• Alkuperäisen muodon säilyttäminen: Kyselyn ajan normalisointi ei edellytä tietojen muokkaamista, joten lähteen lähettämä alkuperäinen tietomuoto säilytetään.
• Mahdollisen tallennustilan kaksoiskappaleiden välttäminen: Koska normalisoidut tiedot ovat vain alkuperäisten tietojen näkymä, sekä alkuperäisiä että normalisoituja tietoja ei tarvitse tallentaa.
• Helpompi kehitys: Koska kyselyajan jäsentimet esittävät näkymän tiedoista eivätkä muokkaa tietoja, niitä on helppo kehittää. Jäsentimen kehittäminen, testaaminen ja korjaaminen voidaan kaikki tehdä olemassa oleville tiedoille. Lisäksi jäsentimet voidaan korjata, kun ongelma havaitaan, ja korjausta käytetään olemassa oleviin tietoihin.

Käyttöajan jäsentäminen

Vaikka ASIM-kyselyiden aika jäsentäjät on optimoitu, kyselyn ajan jäsentäminen voi hidastaa kyselyitä erityisesti suurissa tietojoukoissa.

Sisäänoton ajan jäsennys mahdollistaa tapahtumien muuntamisen normalisoituun rakenteeseen, kun ne käsitellään Microsoft Sentinel ja tallennetaan normalisoituun muotoon. Sisäänoton ajan jäsennys on vähemmän joustavaa ja jäsentimiä on vaikeampi kehittää, mutta koska tiedot on tallennettu normalisoituun muotoon, se tarjoaa paremman suorituskyvyn.

Normalisoidut tiedot voidaan tallentaa Microsoft Sentinel alkuperäisiin normalisoituihin taulukoihin tai mukautettuun taulukkoon, joka käyttää ASIM-rakennetta. Mukautettu taulukko, jonka rakenne on lähellä ASIM-rakennetta, mutta ei identtinen, tarjoaa myös ajan normalisoinnin suorituskykyedut.

ASIM tukee tällä hetkellä seuraavia alkuperäisiä normalisoituja taulukoita kohdesijaintina ajan normalisointia varten:

• ASimAuditEventLogsvalvontatapahtuman rakenteelle.
• ASimAuthenticationEventLogstodennusmallille .
• DHCP-tapahtumarakenteenASimDhcpEventLogs.
• ASimDnsActivityLogs DNS-rakenteelle.
• ASimFileEventLogstiedostotapahtuman rakenteelle.
• ASimNetworkSessionLogsverkkoistunnon rakenteelle.
• ASimProcessEventLogsprosessitapahtuman rakenteelle.
• ASimRegistryEventLogsrekisteritapahtuman rakenteelle.
• ASimUserManagementActivityLogskäyttäjien hallinnan rakenteelle.
• ASimWebSessionLogsWWW-istunnon rakenteelle.

Alkuperäisten normalisoitujen taulukoiden etuna on, että ne sisällytetään oletusarvoisesti ASIM-jäsentämisjäsennykseen. Mukautetut normalisoidut taulukot voidaan sisällyttää jäsennys jäsentämiseen jäsennysten hallinnassa kuvatulla tavalla.

Käyttöajan ja kyselyajan normalisoinnin yhdistäminen

Kyselyjen tulee aina käyttää kyselyn ajan yhtenäistämisen jäsennystä, esimerkiksi _Im_Dns hyödyntääkseen sekä kyselyaikaa että käyttävää ajan normalisointia. Alkuperäiset normalisoidut taulukot sisällytetään kyselytietoihin käyttämällä kanta-jäsennintä.

Kanta-jäsennin on kyselyajan jäsennin, joka käyttää syötteenä normalisoitua taulukkoa. Koska normalisoitu taulukko ei edellytä jäsennystä, kanta jäsennin on tehokas.

Kanta jäsennin esittää kutsuvan kyselyn näkymän, joka lisää ASIM-natiivitaulukkoon:

• Aliakset – jotta toistuvien arvojen tallennustilaa ei tuhlata, aliaksia ei tallenneta ASIM-alkuperäisiin taulukoihin, ja kannan jäsentimet lisäävät ne kyselyn aikana.
• Vakioarvot – Kuten aliakset, ja samasta syystä ASIM-normalisoidut taulukot eivät myöskään tallenna vakioarvoja, kuten EventSchema. Kanta-jäsennin lisää nämä kentät. ASIM-normalisoitu taulukko on useiden lähteiden yhteinen, ja ajan jäsentimet voivat muuttaa tulosteversiotaan. Siksi kentät , kuten EventProduct, EventVendor ja EventSchemaVersion , eivät ole vakioita, eivätkä ne ole jäsentimen lisäämiä.
• Suodatus – kanta jäsennin toteuttaa myös suodatuksen. Vaikka ASIM-alkuperäisissä taulukoissa ei tarvita suodatus jäsentäjiä suorituskyvyn parantamiseksi, suodatusta tarvitaan tukemaan sisällyttämistä yhtenäistämis jäsennykseen.
• Päivitykset ja korjaukset : Nastan jäsentimen avulla ongelmien korjaaminen on nopeampaa. Jos tietoja on esimerkiksi käytetty väärin, IP-osoitetta ei ehkä ole poimittu viestikentästä tietojen käsittelemisen aikana. KANTA-jäsennin voi poimia IP-osoitteen kyselyn aikana.

Kun käytät mukautettuja normalisoituja taulukoita, luo oma stub-jäsennin tämän toiminnon toteuttamiseksi ja lisää se yhtenäistämiseen jäsennystoimintoihin jäsennysten hallinnassa kuvatulla tavalla. Käytä aloituspisteenä alkuperäisen taulukon kanta-jäsennintä, kuten DNS-natiivitaulukon stub-jäsennintä ja sen suodatusvastaavaa. Jos taulukko on normalisoitu osittain, suorita tarvittava lisä jäsennys ja normalisointi käyttämällä kanta jäsennystä.

Lisätietoja jäsennysten kirjoittamisesta on artikkelissa ASIM-jäsennysten kehittäminen.

Käyttöajan normalisoinnin toteuttaminen

Jos haluat normalisoida tiedot käytön aikana, sinun on käytettävä tiedonkeräyssääntöä (DCR). Dcr-asetuksen käyttöönottomenettely riippuu tietojen käsittelymenetelmästä. Lisätietoja on artikkelissa Tietojen muuntaminen tai mukauttaminen tietojen käsittelyhetkellä Microsoft Sentinel.

KQL-muunnoskysely on DCR:n ydin. DcRs:ssä käytetty KQL-versio on hieman eri kuin muualla Microsoft Sentinel käytetty versio putkitapahtumien käsittelyn vaatimusten täyttämiseksi. Siksi sinun on muokattava mitä tahansa kyselyajan jäsennintä, jotta voit käyttää sitä DCR:ssä. Lisätietoja eroista ja kyselyajan jäsentimen muuntamisesta käytönaikaiseen jäsennykseen on artikkelissa DCR KQL -rajoitukset.

Seuraavat vaiheet

Lisätietoja on seuraavissa artikkeleissa:

• Normalisointi ja ASIM (Advanced Security Information Model)
• ASIM (Advanced Security Information Model) -jäsentimet
• Tietojen muuntaminen tai mukauttaminen tietojen käsittelyhetkellä Microsoft Sentinel