Alma süresi normalleştirme

Sorgu süresi ayrıştırma

ASIM genel bakışında açıklandığı gibi, Microsoft Sentinel her birinin avantajlarından yararlanmak için hem sorgu süresini hem de alma süresi normalleştirmesini kullanır.

Sorgu süresini normalleştirmeyi kullanmak için sorgularınızda olduğu gibi _Im_Dns ayrıştırıcıları birleştiren sorgu süresini kullanın. Sorgu zamanı ayrıştırma kullanarak normalleştirmenin çeşitli avantajları vardır:

• Özgün biçimi koruma: Sorgu süresi normalleştirmesi, verilerin değiştirilmesini gerektirmez, bu nedenle kaynak tarafından gönderilen özgün veri biçimini korur.
• Olası yinelenen depolamadan kaçınma: Normalleştirilmiş veriler yalnızca özgün verilerin bir görünümü olduğundan, hem özgün hem de normalleştirilmiş verileri depolamaya gerek yoktur.
• Daha kolay geliştirme: Sorgu zamanı ayrıştırıcıları verilerin bir görünümünü sunduğundan ve verileri değiştirmediğinden geliştirmeleri kolaydır. Ayrıştırıcı geliştirme, test etme ve düzeltme işlemleri mevcut veriler üzerinde gerçekleştirilebilir. Ayrıca, ayrıştırıcılar bir sorun bulunduğunda düzeltilebilir ve düzeltme mevcut verilere uygulanır.

Alma süresi ayrıştırma

ASIM sorgu zamanı ayrıştırıcıları iyileştirilmiş olsa da, sorgu süresi ayrıştırma, özellikle büyük veri kümelerinde sorguları yavaşlatabilir.

Alma süresi ayrıştırma, olayları Microsoft Sentinel'e alınan ve normalleştirilmiş bir biçimde depolayan normalleştirilmiş bir şemaya dönüştürmeye olanak tanır. Alma süresi ayrıştırma daha az esnektir ve ayrıştırıcıların geliştirilmesi zordur, ancak veriler normalleştirilmiş bir biçimde depolandığından daha iyi performans sunar.

Normalleştirilmiş veriler Microsoft Sentinel'in yerel normalleştirilmiş tablolarında veya ASIM şeması kullanan özel bir tabloda depolanabilir. ASIM şemasına yakın ancak aynı olmayan bir şemaya sahip olan özel tablo, alma süresi normalleştirmesinin performans avantajlarını da sağlar.

ASIM şu anda alma zamanı normalleştirmesi için hedef olarak aşağıdaki yerel normalleştirilmiş tabloları destekler:

• Denetim Olayı şeması için ASimAuditEventLogs.
• Kimlik Doğrulama şeması için ASimAuthenticationEventLogs.
• DNS şeması için ASimDnsActivityLogs.
• Ağ Oturumu şeması için ASimNetworkSessionLogs
• Web Oturumu şeması için ASimWebSessionLogs.

Yerel normalleştirilmiş tabloların avantajı, ASIM birleştirici ayrıştırıcılarına varsayılan olarak dahil edilmeleridir. Ayrıştırıcıları Yönetme bölümünde açıklandığı gibi, birleştirici ayrıştırıcılara özel normalleştirilmiş tablolar eklenebilir.

Alma süresini ve sorgu süresi normalleştirmesini birleştirme

Sorgular her zaman hem sorgu süresinden hem de alma süresi normalleştirmeden yararlanmak için _Im_Dns sorgu süresini birleştiren ayrıştırıcıları kullanmalıdır. Yerel normalleştirilmiş tablolar, saplama ayrıştırıcısı kullanılarak sorgulanan verilere eklenir.

Saplama ayrıştırıcısı, normalleştirilmiş tabloyu giriş olarak kullanan bir sorgu zamanı ayrıştırıcısıdır. Normalleştirilmiş tablo ayrıştırma gerektirmediğinden saplama ayrıştırıcısı verimlidir.

Saplama ayrıştırıcısı, ASIM yerel tablosuna ekleyen çağrı sorgusuna bir görünüm sunar:

• Diğer adlar - Yinelenen değerlerde depolamanın boşa harcanmaması için diğer adlar ASIM yerel tablolarında depolanmaz ve saplama ayrıştırıcıları tarafından sorgu zamanında eklenir.
• Sabit değerler - Diğer adlar gibi ve aynı nedenle ASIM normalleştirilmiş tabloları da EventSchema gibi sabit değerleri depolamaz. Saplama ayrıştırıcısı bu alanları ekler. ASIM normalleştirilmiş tablosu birçok kaynak tarafından paylaşılır ve alma zamanı ayrıştırıcıları çıkış sürümlerini değiştirebilir. Bu nedenle EventProduct, EventVendor ve EventSchemaVersion gibi alanlar sabit değildir ve saplama ayrıştırıcısı tarafından eklenmez.
• Filtreleme - saptama ayrıştırıcısı da filtreleme uygular. ASIM yerel tablolarında daha iyi performans elde etmek için filtreleme ayrıştırıcıları gerekmez, ancak birleştirici ayrıştırıcıya eklenmesini desteklemek için filtreleme gerekir.
• Güncelleştirmeler ve düzeltmeler - Saplama ayrıştırıcısı kullanmak sorunları daha hızlı çözmenizi sağlar. Örneğin veriler yanlış alındıysa, alma sırasında ileti alanından bir IP adresi ayıklanmamış olabilir. IP adresi, saplama ayrıştırıcısı tarafından sorgu zamanında ayıklanabilir.

Özel normalleştirilmiş tabloları kullanırken, bu işlevi uygulamak için kendi saplama ayrıştırıcınızı oluşturun ve Ayrıştırıcıları Yönetme bölümünde açıklandığı gibi birleştirici ayrıştırıcılara ekleyin. Başlangıç noktası olarak, yerel tablo için saplama ayrıştırıcısını (DNS yerel tablo saplama ayrıştırıcısı ve onun filtreleme karşılığı gibi) kullanın. Tablonuz yarı normalleştirilmişse, ek ayrıştırma ve normalleştirmeyi gerçekleştirmek için saplama ayrıştırıcısını kullanın.

ASIM ayrıştırıcıları geliştirme bölümünde ayrıştırıcı yazma hakkında daha fazla bilgi edinin.

Alma süresi normalleştirmesi uygulama

Veri alma sırasında verileri normalleştirmek için Veri Toplama Kuralı (DCR) kullanmanız gerekir. DCR'yi uygulama yordamı, verileri almak için kullanılan yönteme bağlıdır. Daha fazla bilgi için Microsoft Sentinel'de veri alımı sırasında verileri dönüştürme veya özelleştirme makalesine bakın.

KQL dönüştürme sorgusu, DCR'nin çekirdeğidir. DCR'lerde kullanılan KQL sürümü, işlem hattı olay işleme gereksinimlerini karşılamak için Microsoft Sentinel'in başka bir yerinde kullanılan sürümden biraz farklıdır. Bu nedenle, bir DCR'de kullanmak için herhangi bir sorgu zamanı ayrıştırıcısını değiştirmeniz gerekir. Farklar ve sorgu zamanı ayrıştırıcısını alma zamanı ayrıştırıcısına dönüştürme hakkında daha fazla bilgi için DCR KQL sınırlamaları hakkında bilgi edinin.

Sonraki adımlar

Daha fazla bilgi için bkz.

• Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM)
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Microsoft Sentinel'de veri alımı sırasında verileri dönüştürme veya özelleştirme