Fonctions d’aide de Microsoft Sentinel Advanced Security Information Model (ASIM) (préversion publique)
Les fonctions d’assistance ASIM (Advanced Security Information Model) étendent le langage KQL qui permet d’interagir avec des données normalisées et d’écrire des analyseurs.
Fonctions de recherche d’enrichissement
Les fonctions de recherche d’enrichissement fournissent une méthode simple de recherche de valeurs connues, en fonction de leur représentation numérique. Ces fonctions sont utiles, car les événements utilisent souvent le code numérique sous forme abrégée, tandis que les utilisateurs préfèrent la forme textuelle. La plupart des fonctions ont deux formes :
La version de recherche est une fonction scalaire qui accepte comme entrée le code numérique et retourne la forme textuelle. Utilisez l’extrait de code KQL suivant avec la version de recherche :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
La version de résolution est une fonction tabulaire qui :
- Est utilisée avec un opérateur de pipeline KQL.
- Accepte comme entrée le nom du champ contenant la valeur à rechercher.
- Définit les champs ASIM contenant généralement à la fois la valeur d’entrée et la valeur de recherche obtenue.
Utilisez l’extrait de code KQL suivant avec la version de résolution :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Le champ NetworkProtocol est alors automatiquement renseigné avec le résultat de la recherche.
La version de résolution est préférable pour une utilisation dans les analyseurs ASIM, tandis que la version de recherche est utile dans les requêtes à usage général. Lorsqu’une fonction de recherche d’enrichissement doit retourner plusieurs valeurs, elle utilise toujours le format de résolution.
Fonctions de type de recherche
| Fonction | Entrée* | Output | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Code de type de requête DNS numérique | Nom du type de requête | Traduire un type d’enregistrement de ressource DNS numérique (RR) en son nom, comme défini par IANA |
| _ASIM_LookupDnsResponseCode | Code de réponse DNS numérique | Nom du code de réponse | Traduire un code de réponse DNS numérique (RCODE) en son nom, comme défini par IANA |
| _ASIM_LookupICMPType | Type ICMP numérique | Nom du type ICMP | Traduire un type ICMP numérique en son nom, comme défini par IANA |
| _ASIM_LookupNetworkProtocol | Numéro de protocole IP | Nom du protocole IP | Traduire un code de protocole IP numérique en son nom, comme défini par IANA |
Résoudre les fonctions de type
Les fonctions de format de résolution effectuent la même action que leur équivalent de recherche, mais elles acceptent un nom de champ, fourni sous la forme d’une constante de chaîne, en tant qu’entrée et configurent des champs prédéfinis en tant que sortie. La valeur d’entrée est également affectée à un champ prédéfini.
| Fonction | Champs étendus |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType pour la valeur d’entrée- DnsQueryTypeName pour la valeur de sortie |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode pour la valeur d’entrée- DnsResponseCodeName pour la valeur de sortie |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode pour la valeur d’entrée- NetworkIcmpType pour la valeur de recherche |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber pour la valeur d’entrée- NetworkProtocol pour la valeur de recherche |
Fonctions d’assistance d’analyseur
Les fonctions suivantes effectuent des tâches qui sont courantes dans les analyseurs et utiles pour accélérer le développement d’analyseur.
Fonctions de résolution d’appareil
Les fonctions de résolution d’appareil analysent un nom d’hôte et déterminent s’il contient des informations de domaine et le type de notation de domaine. Les fonctions renseignent ensuite les champs ASIM appropriés représentant un appareil. Toutes les fonctions sont des fonctions de type de résolution et acceptent le nom du champ contenant le nom d’hôte, représenté sous la forme d’une chaîne, en tant qu’entrée.
| Fonction | Champs étendus | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyse la valeur dans le champ spécifié et définit les champs de sortie en conséquence. Pour plus d’informations, consultez l’exemple de l’article sur le développement d’analyseurs. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Similaire à _ASIM_ResolveFQDN, mais définit les champs Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Similaire à _ASIM_ResolveFQDN, mais définit les champs Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Similaire à _ASIM_ResolveFQDN, mais définit les champs Dvc |
Fonctions d’identification de la source
La fonction _ASIM_GetSourceBySourceType récupère la liste des sources associées à un type de source fourni en tant qu’entrée à partir de la Watchlist SourceBySourceType. La fonction est destinée à être utilisée par les enregistreurs d’analyseurs. Pour plus d’informations, consultez Filtrage par type de source à l’aide d’une Watchlist.
Étapes suivantes
Cet article présente les fonctions d’aide du modèle ASIM (Advanced Security Information Model).
Pour plus d'informations, consultez les pages suivantes :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Schémas de l’Advanced SIEM Information Model (ASIM)
- Analyseurs de l’Advanced SIEM Information Model (ASIM)
- Utilisation du modèle Advanced Security Information Model (ASIM)
- Modification du contenu Microsoft Sentinel pour utiliser les analyseurs du modèle ASIM (Advanced Security Information Model)