Advanced Security Information Model (ASIM) ヘルパー関数 (パブリック プレビュー)
Advanced Security Information Model (ASIM) ヘルパー関数を使用すると、正規化されたデータの操作やパーサーの記述に役立つ機能を提供する KQL 言語が拡張されます。
エンリッチメント参照関数
エンリッチメント参照関数は、数値表現に基づいて、既知の値を簡単に検索する方法を提供します。 イベントは短い形式の数値コードを使用することが多く、ユーザーはテキスト形式を好むため、このような関数は便利です。 ほとんどの関数には、次の 2 つの形式があります。
参照バージョンは、数値コードを入力として受け取り、テキスト形式を返すスカラー関数です。 参照バージョンでは次の KQL スニペットを使用します。
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
解決バージョンは、次の表形式関数です。
- KQL パイプライン演算子が使用されます。
- 検索する値を保持するフィールドの名前を入力として受け取ります。
- 通常、入力値と結果の参照値の両方を保持する ASIM フィールドを設定します。
解決バージョンでは次の KQL スニペットを使用します。
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
これにより、NetworkProtocol フィールドに参照の結果が自動的に設定されます。
解決バージョンは ASIM パーサーでの使用に適しており、参照バージョンは汎用クエリで役立ちます。 エンリッチメント参照関数が複数の値を返す必要がある場合は、常に解決形式を使用します。
型参照関数
| 機能 | 入力* | 出力 | 説明 |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | DNS クエリの種類の数値コード | クエリの種類名 | 数値 DNS リソース レコード (RR) の種類を、IANA で定義されている名前に変換します |
| _ASIM_LookupDnsResponseCode | DNS 応答の数値コード | 応答コード名 | 数値 DNS 応答コード (RCODE) を IANA で定義されている名前に変換します |
| _ASIM_LookupICMPType | ICMP の種類の数値 | ICMP の種類名 | ICMPの種類の数値を、IANA で定義されている名前に変換します |
| _ASIM_LookupNetworkProtocol | IP プロトコル番号 | IP プロトコル名 | IP プロトコルの数値コードを、IANA で定義されている名前に変換します |
型解決関数
形式解決関数は、対応する参照関数と同じアクションを実行しますが、入力として文字列定数として指定されたフィールド名を受け取り、定義済みのフィールドを出力として設定します。 入力値は、定義済みのフィールドにも割り当てられます。
| 機能 | 拡張フィールド |
|---|---|
| _ASIM_ResolveDnsQueryType |
- 入力値に対するDnsQueryType- 出力値に対する DnsQueryTypeName |
| _ASIM_ResolveDnsResponseCode |
- 入力値に対するDnsResponseCode- 出力値に対する DnsResponseCodeName |
| _ASIM_ResolveICMPType |
- 入力値に対するNetworkIcmpCode- 参照値に対する NetworkIcmpType |
| _ASIM_ResolveNetworkProtocol |
- 入力値に対するNetworkProtocolNumber- 参照値に対する NetworkProtocol |
パーサー ヘルパー関数
次の関数は、パーサーに共通のタスクを実行し、パーサー開発を加速させるのに役立ちます。
デバイス解決関数
デバイス解決関数は、ホスト名を分析し、ドメイン情報とドメイン表記の種類があるかどうかを判断します。 次に、この関数は、デバイスを表す関連する ASIM フィールドに値を設定します。 すべての関数は型解決関数であり、文字列として表されるホスト名を含むフィールドの名前を入力として受け取ります。
| 機能 | 拡張フィールド | 説明 |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
指定されたフィールドの値を分析し、それに応じて出力フィールドを設定します。 詳細については、パーサーの開発に関する記事の「例」を参照してください。 |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDN に似ていますが、Src フィールドを設定します |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDN に似ていますが、Dst フィールドを設定します |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDN に似ていますが、Dvc フィールドを設定します |
ソース識別関数
_ASIM_GetSourceBySourceType 関数は、SourceBySourceType ウォッチリストから入力として指定されたソースの種類に関連付けられているソースの一覧を取得します。 この関数は、パーサー編集者による使用を目的としています。 詳細については、「ウォッチリストを使用したソースの種類によるフィルター処理」を参照してください。
次の手順
この記事では、Advanced Security Information Model (ASIM) ヘルプ関数について説明します。
詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) のパーサー
- Advanced Security Information Model (ASIM) の使用
- Advanced Security Information Model (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する | Microsoft Docs