Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Fortolkning af forespørgselstid
Som diskussion i ASIM-oversigten bruger Microsoft Sentinel både normalisering af forespørgselstid og indfødningstid til at drage fordel af fordelene ved hver enkelt.
Hvis du vil bruge normalisering af forespørgselstid, skal du bruge forespørgselstiden for at forene fortolkninger, f.eks _Im_Dns . i dine forespørgsler. Der er flere fordele ved at normalisere ved hjælp af fortolkning af forespørgselstid:
- Bevarelse af det oprindelige format: Normalisering af forespørgselstid kræver ikke, at dataene ændres, så det oprindelige dataformat, der sendes af kilden, bevares.
- Undgå potentiel dubletlagring: Da de normaliserede data kun er en visning af de oprindelige data, er det ikke nødvendigt at gemme både oprindelige og normaliserede data.
- Nemmere udvikling: Da fortolkninger af forespørgselstid præsenterer en visning af dataene og ikke ændrer dataene, er de nemme at udvikle. Udvikling, test og rettelse af en parser kan alt sammen udføres på eksisterende data. Desuden kan fortolkninger løses, når der registreres et problem, og rettelsen anvendes på eksisterende data.
Fortolkning af tid for indfødning
Selvom ASIM-forespørgselstidsparsere er optimeret, kan fortolkning af forespørgselstid gøre forespørgsler langsommere, især i store datasæt.
Fortolkning af indfødningstid gør det muligt at transformere hændelser til et normaliseret skema, når de indtages til Microsoft Sentinel og gemmer dem i et normaliseret format. Indfødningstidsparsing er mindre fleksibel, og fortolkningselementer er sværere at udvikle, men da dataene er gemt i et normaliseret format, giver det en bedre ydeevne.
Normaliserede data kan gemmes i Microsoft Sentinel oprindelige normaliserede tabeller eller i en brugerdefineret tabel, der bruger et ASIM-skema. En brugerdefineret tabel, der har et skema tæt på, men ikke identisk med et ASIM-skema, giver også ydeevnefordelene ved normalisering af indfødningstid.
ASIM understøtter i øjeblikket følgende oprindelige normaliserede tabeller som en destination for normalisering af indfødningstid:
- ASimAuditEventLogs for skemaet for overvågningshændelsen .
- ASimAuthenticationEventLogs for godkendelsesskemaet.
- ASimDhcpEventLogs for DHCP-hændelsesskemaet .
- ASimDnsActivityLogs for DNS-skemaet .
- ASimFileEventLogs for filhændelsesskemaet .
- ASimNetworkSessionLogs for netværkssessionsskemaet .
- ASimProcessEventLogs for skemaet for proceshændelsen .
- ASimRegistryEventLogs for skemaet for registreringsdatabasehændelsen .
- ASimUserManagementActivityLogs for brugeradministrationsskemaet .
- ASimWebSessionLogs til websessionsskemaet .
Fordelen ved oprindelige normaliserede tabeller er, at de som standard inkluderes i ASIM-forenende fortolkninger. Brugerdefinerede normaliserede tabeller kan inkluderes i de forenende fortolkninger, som beskrevet i Administrer fortolkninger.
Kombination af tidsforbrug og normalisering af forespørgselstid
Forespørgsler bør altid bruge forespørgselstiden til at forene fortolkninger, f.eks. _Im_Dns til at drage fordel af både normalisering af forespørgselstid og indfødningstid. Oprindelige normaliserede tabeller medtages i de data, der forespørges efter, ved hjælp af en stub-parser.
Stubparser er en forespørgselstidsparser, der bruger som input til den normaliserede tabel. Da den normaliserede tabel ikke kræver fortolkning, er stubparser effektiv.
Stubparser viser en visning af den kaldende forespørgsel, der føjer til den oprindelige ASIM-tabel:
- Aliasser – for ikke at spilde lagerplads på gentagne værdier gemmes aliasser ikke i oprindelige ASIM-tabeller og tilføjes af stub-fortolkerne på forespørgselstidspunktet.
- Konstantværdier – ligesom aliasser, og af samme årsag gemmer ASIM-normaliserede tabeller heller ikke konstante værdier som EventSchema. Stubparser tilføjer disse felter. Den normaliserede ASIM-tabel deles af mange kilder, og tidsparsere til indfødning kan ændre deres outputversion. Derfor er felter som EventProduct, EventVendor og EventSchemaVersion ikke konstante og tilføjes ikke af stub-fortolkeren.
- Filtrering – stubparser implementerer også filtrering. Selvom oprindelige ASIM-tabeller ikke behøver filtreringsparsere for at opnå en bedre ydeevne, er filtrering nødvendig for at understøtte medtagelse i den samlende fortolker.
- Opdateringer og rettelser – Brug af en stubparser gør det muligt at løse problemer hurtigere. Hvis data f.eks. blev indtaget forkert, er en IP-adresse muligvis ikke blevet udtrukket fra meddelelsesfeltet under indfødning. IP-adressen kan udtrækkes af stub-fortolkeren på forespørgselstidspunktet.
Når du bruger brugerdefinerede normaliserede tabeller, skal du oprette din egen stubparser for at implementere denne funktionalitet og føje den til de forenende fortolkere, som beskrevet i Administrer fortolkere. Brug stubparser til den oprindelige tabel, f.eks. den oprindelige DNS-stub-parser og den tilhørende filter-modstykke som udgangspunkt. Hvis tabellen er seminormaliseret, skal du bruge stubparser til at udføre den ekstra fortolkning og normalisering, der er nødvendig.
Få mere at vide om at skrive fortolkere i Udvikling af ASIM-fortolkere.
Implementering af normalisering af indfødningstid
Hvis du vil normalisere data ved indfødning, skal du bruge en DCR (Data Collection Rule). Proceduren for implementering af DCR afhænger af den metode, der bruges til at indtage dataene. Du kan få flere oplysninger i artiklen Transformer eller tilpas data på indtagelsestidspunktet i Microsoft Sentinel.
En KQL-transformationsforespørgsel er kernen i en DCR. Den KQL-version, der bruges i DCR'er, er en smule anderledes end den version, der bruges andre steder i Microsoft Sentinel for at imødekomme kravene til behandling af pipelinehændelser. Derfor skal du ændre en forespørgselstidsparser for at bruge den i en DCR. Du kan finde flere oplysninger om forskellene, og hvordan du konverterer en forespørgselstidsparser til en indfødningsparser, ved at læse om DCR-KQL-begrænsningerne.
Næste trin
Du kan finde flere oplysninger under: