Funkcje pomocnika advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Funkcje pomocnicze zaawansowanego modelu informacji o zabezpieczeniach (ASIM) rozszerzają język KQL, zapewniając funkcjonalność, która pomaga w interakcji z znormalizowanymi danymi i podczas pisania analizatorów.
Funkcje wyszukiwania wzbogacania
Funkcje wyszukiwania wzbogacania zapewniają łatwą metodę wyszukiwania znanych wartości na podstawie ich reprezentacji liczbowej. Takie funkcje są przydatne, ponieważ zdarzenia często używają krótkiego kodu liczbowego, podczas gdy użytkownicy preferują formularz tekstowy. Większość funkcji ma dwie formy:
Wersja odnośnika jest funkcją skalarną, która przyjmuje jako dane wejściowe kodu liczbowego i zwraca formularz tekstowy.
Użyj następującego fragmentu kodu KQL z wersją odnośnika:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Wersja rozwiązania to funkcja tabelaryczna, która:
- Jest używany jako operator potoku KQL.
- Przyjmuje jako dane wejściowe nazwę pola zawierającego wartość do wyszukania.
- Ustawia pola ASIM zwykle przechowują zarówno wartość wejściową, jak i wynikową wartość odnośnika.
Użyj następującego fragmentu kodu KQL z wersją rozpoznawania:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funkcja automatycznie wypełnia pole ASIM wynikiem wyszukiwania.
Wersja rozpoznawania jest preferowana do użycia w analizatorach ASIM, podczas gdy wersja odnośnika jest przydatna w zapytaniach ogólnego przeznaczenia. Gdy funkcja wyszukiwania wzbogacania musi zwrócić więcej niż jedną wartość, zawsze będzie używać formatu rozpoznawania.
Aby uzyskać więcej informacji na temat funkcji skalarnych i tabelarycznych (reprezentowanych odpowiednio przez wyszukiwanie i rozpoznawanie wersji), zobacz Funkcje zdefiniowane przez użytkownika w dokumentacji usługi Kusto.
Funkcje typów odnośników
| Function | Wkład* | Wyjście | opis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numeryczny kod typu zapytania DNS | Nazwa typu zapytania | Tłumaczenie numerycznego typu rekordu zasobu DNS (RR) na jego nazwę, zgodnie z definicją w usłudze IANA |
| _ASIM_LookupDnsResponseCode | Numeryczny kod odpowiedzi DNS | Nazwa kodu odpowiedzi | Tłumaczenie liczbowego kodu odpowiedzi DNS (RCODE) na jego nazwę, zgodnie z definicją przez IANA |
| _ASIM_LookupICMPType | Numeryczny typ ICMP | Nazwa typu ICMP | Tłumaczenie liczbowego typu ICMP na jego nazwę, zgodnie z definicją w usłudze IANA |
| _ASIM_LookupNetworkProtocol | numer protokołu IP | Nazwa protokołu IP | Tłumaczenie numerycznego kodu protokołu IP na jego nazwę zgodnie z definicją w usłudze IANA |
Rozpoznawanie funkcji typów
Funkcje formatowania rozpoznawania wykonują tę samą akcję co ich odpowiednik wyszukiwania, ale akceptują nazwę pola, podaną jako stałą ciągu, jako dane wejściowe i konfigurują wstępnie zdefiniowane pola jako dane wyjściowe. Wartość wejściowa jest również przypisywana do wstępnie zdefiniowanego pola.
| Function | Pola rozszerzone |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType dla wartości wejściowej- DnsQueryTypeName dla wartości wyjściowej |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode dla wartości wejściowej- DnsResponseCodeName dla wartości wyjściowej |
| _ASIM_ResolveICMPType | - NetworkIcmpCode dla wartości wejściowej- NetworkIcmpType dla wartości odnośnika |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber dla wartości wejściowej- NetworkProtocol dla wartości odnośnika |
Funkcje pomocnika analizatora
Poniższe funkcje wykonują zadania, które są wspólne w analizatorach i przydatne do przyspieszenia opracowywania analizatora.
Funkcje rozpoznawania urządzeń
Funkcje rozpoznawania urządzeń analizują nazwę hosta i określają, czy ma informacje o domenie i typ notacji domeny. Następnie funkcje wypełniają odpowiednie pola ASIM reprezentujące urządzenie. Wszystkie funkcje są rozpoznawane jako funkcje typu i akceptują nazwę pola zawierającego nazwę hosta reprezentowaną jako ciąg jako dane wejściowe.
| Function | Pola rozszerzone | opis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analizuje wartość w określonym polu i odpowiednio ustawia pola wyjściowe. Aby uzyskać więcej informacji, zobacz przykład w artykule dotyczącym opracowywania analizatorów. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Src pola |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dst pola |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dvc pola |
Funkcje identyfikacji źródła
Funkcja _ASIM_GetSourceBySourceType pobiera listę źródeł skojarzonych z typem źródłowym podanym jako dane wejściowe z listy obserwowanychSourceBySourceType. Funkcja jest przeznaczona do użycia przez składniki zapisywania analizatorów. Aby uzyskać więcej informacji, zobacz Filtrowanie według typu źródła przy użyciu listy kontrolnej.
Następne kroki
W tym artykule omówiono funkcje pomocy usługi Advanced Security Information Model (ASIM).
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Modyfikowanie zawartości usługi Microsoft Sentinel w celu używania analizatorów advanced Security Information Model (ASIM)