Funkcje pomocnicze zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)
Funkcje pomocnicze zaawansowanego modelu informacji o zabezpieczeniach (ASIM) rozszerzają język KQL, zapewniając funkcjonalność, która ułatwia interakcję z znormalizowanymi danymi i zapisywaniem analizatorów.
Funkcje wyszukiwania wzbogacania
Funkcje wyszukiwania wzbogacania zapewniają łatwą metodę wyszukiwania znanych wartości na podstawie ich reprezentacji liczbowej. Takie funkcje są przydatne, ponieważ zdarzenia często używają krótkiego kodu liczbowego formularza, podczas gdy użytkownicy preferują formularz tekstowy. Większość funkcji ma dwie formy:
Wersja odnośnika jest funkcją skalarną, która akceptuje jako dane wejściowe kodu liczbowego i zwraca formularz tekstowy. Użyj następującego fragmentu kodu KQL z wersją odnośnika :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
Wersja rozwiązania to funkcja tabelaryczna, która:
- Jest używany operator potoku KQL.
- Akceptuje jako dane wejściowe nazwę pola zawierającego wartość do wyszukania.
- Ustawia pola ASIM zwykle przechowują zarówno wartość wejściową, jak i wynikową wartość odnośnika.
Użyj następującego fragmentu kodu KQL z wersją rozwiązania :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Spowoduje to automatyczne wypełnienie pola NetworkProtocol wynikiem wyszukiwania.
Wersja rozpoznawania jest preferowana do użycia w analizatorach ASIM, podczas gdy wersja odnośnika jest przydatna w zapytaniach ogólnego przeznaczenia. Gdy funkcja odnośnika wzbogacania musi zwrócić więcej niż jedną wartość, zawsze będzie używać formatu rozpoznawania .
Funkcje typów odnośników
| Funkcja | Wejście* | Dane wyjściowe | Opis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numeryczny kod typu zapytania DNS | Nazwa typu zapytania | Tłumaczenie liczbowego typu rekordu zasobu DNS (RR) na jego nazwę, zgodnie z definicją przez IANA |
| _ASIM_LookupDnsResponseCode | Numeryczny kod odpowiedzi DNS | Nazwa kodu odpowiedzi | Tłumaczenie liczbowego kodu odpowiedzi DNS (RCODE) na jego nazwę, zgodnie z definicją przez IANA |
| _ASIM_LookupICMPType | Typ ICMP liczbowy | Nazwa typu ICMP | Tłumaczenie liczbowego typu ICMP na jego nazwę, zgodnie z definicją przez IANA |
| _ASIM_LookupNetworkProtocol | Numer protokołu IP | Nazwa protokołu IP | Tłumaczenie kodu protokołu IP liczbowego na jego nazwę, zgodnie z definicją przez IANA |
Rozwiązywanie problemów z funkcjami typów
Funkcje formatu rozpoznawania wykonują tę samą akcję co ich odpowiednik wyszukiwania, ale akceptują nazwę pola, podaną jako stałą ciągu, jako dane wejściowe i konfigurują wstępnie zdefiniowane pola jako dane wyjściowe. Wartość wejściowa jest również przypisywana do wstępnie zdefiniowanego pola.
| Funkcja | Pola rozszerzone |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType dla wartości wejściowej- DnsQueryTypeName dla wartości wyjściowej |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode dla wartości wejściowej- DnsResponseCodeName dla wartości wyjściowej |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode dla wartości wejściowej- NetworkIcmpType dla wartości odnośnika |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber dla wartości wejściowej- NetworkProtocol dla wartości odnośnika |
Funkcje pomocnika analizatora
Poniższe funkcje wykonują zadania, które są wspólne w analizatorach i przydatne do przyspieszenia opracowywania analizatora.
Funkcje rozpoznawania urządzeń
Funkcje rozpoznawania urządzeń analizują nazwę hosta i określają, czy ma informacje o domenie i typ notacji domeny. Następnie funkcje wypełniają odpowiednie pola ASIM reprezentujące urządzenie. Wszystkie funkcje są rozpoznawane funkcje typów i akceptują nazwę pola zawierającego nazwę hosta, reprezentowaną jako ciąg, jako dane wejściowe.
| Funkcja | Pola rozszerzone | Opis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analizuje wartość w określonym polu i odpowiednio ustawia pola wyjściowe. Aby uzyskać więcej informacji, zobacz przykład w artykule dotyczącym opracowywania analizatorów. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Src pola |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dst pola |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dvc pola |
Funkcje identyfikacji źródła
Funkcja _ASIM_GetSourceBySourceType pobiera listę źródeł skojarzonych z typem źródłowym podanym jako dane wejściowe z listy obserwowanych SourceBySourceType . Funkcja jest przeznaczona do użycia przez autorów analizatorów. Aby uzyskać więcej informacji, zobacz Filtrowanie według typu źródła przy użyciu listy obserwowanych.
Następne kroki
W tym artykule omówiono funkcje pomocy usługi Advanced Security Information Model (ASIM).
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe Szczegółowe informacje na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Modyfikowanie zawartości usługi Microsoft Sentinel w celu korzystania z analizatorów advanced Security Information Model (ASIM)