Advanced Security Information Model (ASIM) ヘルパー関数 (パブリック プレビュー)
Advanced Security Information Model (ASIM) ヘルパー関数を使用すると、正規化されたデータの操作やパーサーの記述に役立つ機能を提供する KQL 言語が拡張されます。
エンリッチメント参照関数
エンリッチメント参照関数は、数値表現に基づいて、既知の値を簡単に検索する方法を提供します。 イベントは短い形式の数値コードを使用することが多く、ユーザーはテキスト形式を好むため、このような関数は便利です。 ほとんどの関数には、次の 2 つの形式があります。
参照バージョンは、数値コードを入力として受け取り、テキスト形式を返すスカラー関数です。
参照バージョンでは次の KQL スニペットを使用します。
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
解決バージョンは、次の表形式関数です。
- KQL パイプライン演算子として使用されます。
- 検索する値を保持するフィールドの名前を入力として受け取ります。
- 通常、入力値と結果の参照値の両方を保持する ASIM フィールドを設定します。
解決バージョンでは次の KQL スニペットを使用します。
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
この関数は、ASIM フィールドにルックアップの結果を自動的に設定します。
resolve バージョンは ASIM パーサーで使用することをお勧めしますが、lookup バージョンは汎用クエリで役立ちます。 エンリッチメント参照関数が複数の値を返す必要がある場合は、常に解決形式を使用します。
スカラー関数と表形式関数 (それぞれ参照と解決のバージョンで表されます) の詳細については、Kusto ドキュメントの「 ユーザー定義関数 を参照してください。
型参照関数
機能 | 入力* | 出力 | 説明 |
---|---|---|---|
_ASIM_LookupDnsQueryType | DNS クエリの種類の数値コード | クエリの種類名 | 数値 DNS リソース レコード (RR) の種類を、IANA で定義されている名前に変換します |
_ASIM_LookupDnsResponseCode | DNS 応答の数値コード | 応答コード名 | 数値 DNS 応答コード (RCODE) を IANA で定義されている名前に変換します |
_ASIM_LookupICMPType | ICMP の種類の数値 | ICMP の種類名 | ICMPの種類の数値を、IANA で定義されている名前に変換します |
_ASIM_LookupNetworkProtocol | IP プロトコル番号 | IP プロトコル名 | IP プロトコルの数値コードを、IANA で定義されている名前に変換します |
型解決関数
形式解決関数は、対応する参照関数と同じアクションを実行しますが、入力として文字列定数として指定されたフィールド名を受け取り、定義済みのフィールドを出力として設定します。 入力値は、定義済みのフィールドにも割り当てられます。
機能 | 拡張フィールド |
---|---|
_ASIM_ResolveDnsQueryType | - 入力値に対するDnsQueryType - 出力値に対する DnsQueryTypeName |
_ASIM_ResolveDnsResponseCode | - 入力値に対するDnsResponseCode - 出力値に対する DnsResponseCodeName |
_ASIM_ResolveICMPType | - 入力値に対するNetworkIcmpCode - 参照値に対する NetworkIcmpType |
_ASIM_ResolveNetworkProtocol | - 入力値に対するNetworkProtocolNumber - 参照値に対する NetworkProtocol |
パーサー ヘルパー関数
次の関数は、パーサーに共通のタスクを実行し、パーサー開発を加速させるのに役立ちます。
デバイス解決関数
デバイス解決関数は、ホスト名を分析し、ドメイン情報とドメイン表記の種類があるかどうかを判断します。 次に、この関数は、デバイスを表す関連する ASIM フィールドに値を設定します。 すべての関数は型解決関数であり、文字列として表されるホスト名を含むフィールドの名前を入力として受け取ります。
機能 | 拡張フィールド | 説明 |
---|---|---|
_ASIM_ResolveFQDN | - ExtractedHostname - Domain - DomainType - FQDN |
指定されたフィールドの値を分析し、それに応じて出力フィールドを設定します。 詳細については、パーサーの開発に関する記事の「例」を参照してください。 |
_ASIM_ResolveSrcFQDN | - SrcHostname - SrcDomain - SrcDomainType - SrcFQDN |
_ASIM_ResolveFQDN に似ていますが、Src フィールドを設定します |
_ASIM_ResolveDstFQDN | - DstHostname - DstDomain - DstDomainType - SrcFQDN |
_ASIM_ResolveFQDN に似ていますが、Dst フィールドを設定します |
_ASIM_ResolveDvcFQDN | - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN |
_ASIM_ResolveFQDN に似ていますが、Dvc フィールドを設定します |
ソース識別関数
_ASIM_GetSourceBySourceType 関数は、SourceBySourceType
ウォッチリストから入力として指定されたソースの種類に関連付けられているソースの一覧を取得します。 この関数は、パーサー編集者による使用を目的としています。 詳細については、「ウォッチリストを使用したソースの種類によるフィルター処理」を参照してください。
次の手順
この記事では、Advanced Security Information Model (ASIM) ヘルプ関数について説明します。
詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) のパーサー
- Advanced Security Information Model (ASIM) の使用
- Advanced Security Information Model (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する | Microsoft Docs