Pomocné funkce rozšířeného modelu zabezpečení (ASIM) (Public Preview)
Pomocné funkce Advanced Security Information Model (ASIM) rozšiřují jazyk KQL poskytující funkce, které pomáhají pracovat s normalizovanými daty a při psaní analyzátorů.
Vyhledávací funkce pro rozšiřování
Vyhledávací funkce pro rozšiřování poskytují snadnou metodu vyhledávání známých hodnot na základě jejich číselné reprezentace. Takové funkce jsou užitečné jako události často používají krátký číselný kód formuláře, zatímco uživatelé dávají přednost textovému formuláři. Většina funkcí má dvě formy:
Vyhledávací verze je skalární funkce, která přijímá jako vstup číselného kódu a vrací textovou formu.
Ve verzi vyhledávání použijte následující fragment kódu KQL:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Vyřešená verze je tabulková funkce, která:
- Slouží jako operátor kanálu KQL.
- Přijímá jako vstup název pole, které obsahuje hodnotu, kterou chcete vyhledat.
- Nastaví pole ASIM, která obvykle obsahují vstupní i výslednou vyhledávací hodnotu.
Použijte následující fragment kódu KQL s verzí překladu:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funkce automaticky naplní pole ASIM výsledkem vyhledávání.
Verze překladu je vhodnější pro použití v analyzátorech ASIM, zatímco vyhledávací verze je užitečná v dotazech pro obecné účely. Pokud funkce vyhledávání rozšiřování musí vrátit více než jednu hodnotu, bude vždy používat formát překladu.
Další informace o skalárních a tabulkových funkcích (reprezentované vyhledáváním a překladem verzí najdete tady), viz Uživatelsky definované funkce v dokumentaci Kusto.
Funkce vyhledávacího typu
| Function | Vstup* | Výstup | Popis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Číselný kód typu dotazu DNS | Název typu dotazu | Přeložit číselný typ záznamu prostředku DNS (RR) na jeho název, jak je definováno IANA |
| _ASIM_LookupDnsResponseCode | Číselný kód odpovědi DNS | Název kódu odpovědi | Přeloží číselný kód odpovědi DNS (RCODE) na jeho název, jak definuje IANA. |
| _ASIM_LookupICMPType | Číselný typ ICMP | Název typu ICMP | Přeloží číselný typ ICMP na název podle definice IANA. |
| _ASIM_LookupNetworkProtocol | číslo protokolu IP | Název protokolu IP | Přeloží kód číselného protokolu IP na jeho název, jak definuje IANA. |
Řešení funkcí typu
Funkce překladu formátu provádějí stejnou akci jako jejich vyhledávací protějšky, ale přijímají název pole, který je zadaný jako řetězcová konstanta, jako vstup a nastaví předdefinovaná pole jako výstup. Vstupní hodnota je také přiřazena k předdefinovanému poli.
| Function | Rozšířená pole |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType pro vstupní hodnotu- DnsQueryTypeName pro výstupní hodnotu |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode pro vstupní hodnotu- DnsResponseCodeName pro výstupní hodnotu |
| _ASIM_ResolveICMPType | - NetworkIcmpCode pro vstupní hodnotu- NetworkIcmpType pro vyhledávací hodnotu |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber pro vstupní hodnotu- NetworkProtocol pro vyhledávací hodnotu |
Pomocné funkce analyzátoru
Následující funkce provádějí úlohy, které jsou běžné v analyzátorech a jsou užitečné k urychlení vývoje analyzátoru.
Funkce překladu zařízení
Funkce překladu zařízení analyzují název hostitele a určují, jestli obsahuje informace o doméně a typ zápisu domény. Funkce pak naplní příslušná pole ASIM představující zařízení. Všechny funkce překládají funkce typu a přijímají název pole obsahujícího název hostitele, který je reprezentovaný jako řetězec jako vstup.
| Function | Rozšířená pole | Popis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyzuje hodnotu v zadaném poli a odpovídajícím způsobem nastaví výstupní pole. Další informace najdete v příkladu v článku o vývoji analyzátorů. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Dvc |
Identifikační funkce zdroje
Funkce _ASIM_GetSourceBySourceType načte seznam zdrojů přidružených ke zdroji zadanému jako vstup ze SourceBySourceType seznamu ke zhlédnutí. Funkce je určená k použití analyzátory zapisovačů. Další informace najdete v tématu Filtrování podle typu zdroje pomocí seznamu ke zhlédnutí.
Další kroky
Tento článek popisuje funkce nápovědy k modelu ASIM (Advanced Security Information Model).
Další informace naleznete v tématu:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
- Přehled rozšířeného modelu informací o zabezpečení (ASIM)
- Schémata advanced Security Information Model (ASIM)
- Analyzátory advanced security information model (ASIM)
- Použití modelu ADVANCED Security Information Model (ASIM)
- Úprava obsahu Microsoft Sentinelu tak, aby používal analyzátory ADVANCED Security Information Model (ASIM)