ASIM-helperfuncties (Advanced Security Information Model) (openbare preview)
Geavanceerde ASIM-helperfuncties (Security Information Model) breiden de KQL-taal uit die functionaliteit biedt waarmee u kunt communiceren met genormaliseerde gegevens en bij het schrijven van parsers.
Opzoekfuncties voor verrijking
Opzoekfuncties voor verrijking bieden een eenvoudige methode om bekende waarden op te zoeken, op basis van hun numerieke weergave. Dergelijke functies zijn handig omdat gebeurtenissen vaak de korte numerieke code van het formulier gebruiken, terwijl gebruikers de voorkeur geven aan het tekstuele formulier. De meeste functies hebben twee vormen:
De opzoekversie is een scalaire functie die de numerieke code accepteert en het tekstuele formulier retourneert.
Gebruik het volgende KQL-fragment met de opzoekversie :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)De oplossingsversie is een tabellaire functie die:
- Wordt gebruikt als een KQL-pijplijnoperator.
- Accepteert als invoer de naam van het veld met de waarde die moet worden opgezoekd.
- Hiermee stelt u de ASIM-velden in die doorgaans zowel de invoerwaarde als de resulterende opzoekwaarde bevatten.
Gebruik het volgende KQL-fragment met de resolve-versie :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)De functie vult het ASIM-veld automatisch in met het resultaat van de zoekopdracht.
De oplossingsversie verdient de voorkeur voor gebruik in ASIM-parsers, terwijl de opzoekversie nuttig is in query's voor algemeen gebruik. Wanneer een opzoekfunctie voor verrijking meer dan één waarde moet retourneren, wordt altijd de omzettingsindeling gebruikt.
Zie voor meer informatie over scalaire en tabellaire functies (vertegenwoordigd door de opzoek- en oplossingsversies hier respectievelijk), door de gebruiker gedefinieerde functies in de Kusto-documentatie.
Opzoektypefuncties
| Functie | Invoer* | Uitvoer | Beschrijving |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerieke DNS-querytypecode | Naam van querytype | Vertaal een numeriek TYPE DNS-bronrecord (RR) naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupDnsResponseCode | Numerieke DNS-antwoordcode | Naam van antwoordcode | Vertaal een numerieke DNS-antwoordcode (RCODE) naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupICMPType | Type numerieke ICMP | ICMP-typenaam | Een numeriek ICMP-type vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupNetworkProtocol | het IP-protocolnummer | IP-protocolnaam | Vertaal een numerieke IP-protocolcode naar de naam, zoals gedefinieerd door IANA |
Typefuncties oplossen
De functies voor het oplossen van opmaak voeren dezelfde actie uit als hun tegenhanger voor opzoeken, maar accepteren een veldnaam, opgegeven als een tekenreeksconstante, als invoer en vooraf gedefinieerde velden instellen als uitvoer. De invoerwaarde wordt ook toegewezen aan een vooraf gedefinieerd veld.
| Functie | Uitgebreide velden |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType voor de invoerwaarde- DnsQueryTypeName voor de uitvoerwaarde |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode voor de invoerwaarde- DnsResponseCodeName voor de uitvoerwaarde |
| _ASIM_ResolveICMPType | - NetworkIcmpCode voor de invoerwaarde- NetworkIcmpType voor de opzoekwaarde |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber voor de invoerwaarde- NetworkProtocol voor de opzoekwaarde |
Helperfuncties voor parser
Met de volgende functies worden taken uitgevoerd die gebruikelijk zijn in parsers en nuttig zijn om de ontwikkeling van parser te versnellen.
Apparaatomzettingsfuncties
De apparaatomzettingsfuncties analyseren een hostnaam en bepalen of deze domeingegevens en het type domein notatie bevat. De functies vullen vervolgens de relevante ASIM-velden die een apparaat vertegenwoordigen. Alle functies zijn typefuncties oplossen en accepteren de naam van het veld met de hostnaam, vertegenwoordigd als een tekenreeks, als invoer.
| Functie | Uitgebreide velden | Beschrijving |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyseert de waarde in het opgegeven veld en stelt de uitvoervelden dienovereenkomstig in. Zie het voorbeeld in het artikel over het ontwikkelen van parsers voor meer informatie. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Vergelijkbaar met _ASIM_ResolveFQDN, maar stelt de Src velden in |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Vergelijkbaar met _ASIM_ResolveFQDN, maar stelt de Dst velden in |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Vergelijkbaar met _ASIM_ResolveFQDN, maar stelt de Dvc velden in |
Bronidentificatiefuncties
De functie _ASIM_GetSourceBySourceType haalt de lijst met bronnen op die zijn gekoppeld aan een brontype dat is opgegeven als invoer uit de SourceBySourceType volglijst. De functie is bedoeld voor gebruik door parsers schrijvers. Zie Filteren op brontype met behulp van een volglijst voor meer informatie.
Volgende stappen
In dit artikel worden de Help-functies advanced Security Information Model (ASIM) besproken.
Zie voor meer informatie:
- Bekijk de Deep Dive Webinar op Microsoft Sentinel Normalizing Parsers and Normalized Content of bekijk de dia's
- Overzicht van Advanced Security Information Model (ASIM)
- ASIM-schema's (Advanced Security Information Model)
- ASIM-parsers (Advanced Security Information Model)
- Het Advanced Security Information Model (ASIM) gebruiken
- Microsoft Sentinel-inhoud wijzigen om de ASIM-parsers (Advanced Security Information Model) te gebruiken