Funções auxiliares do Modelo Avançado de Informações de Segurança (ASIM) (Visualização pública)
As funções auxiliares do ASIM (Advanced Security Information Model) estendem a linguagem KQL, fornecendo funcionalidades que ajudam a interagir com dados normalizados e a escrever analisadores.
Funções de pesquisa de enriquecimento
As funções de pesquisa de enriquecimento fornecem um método fácil de procurar valores conhecidos, com base na sua representação numérica. Tais funções são úteis, pois os eventos geralmente usam o código numérico de forma curta, enquanto os usuários preferem a forma textual. A maioria das funções tem duas formas:
A versão de pesquisa é uma função escalar que aceita como entrada o código numérico e retorna a forma textual.
Use o seguinte trecho do KQL com a versão de pesquisa :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)A versão resolve é uma função tabular que:
- É usado como um operador de pipeline KQL.
- Aceita como entrada o nome do campo que contém o valor a ser pesquisado.
- Define os campos ASIM que normalmente contêm o valor de entrada e o valor de pesquisa resultante.
Use o seguinte trecho do KQL com a versão de resolução :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)A função preenche automaticamente o campo ASIM com o resultado da pesquisa.
A versão resolve é preferível para uso em analisadores ASIM, enquanto a versão de pesquisa é útil em consultas de uso geral. Quando uma função de pesquisa de enriquecimento tem que retornar mais de um valor, ela sempre usará o formato de resolução .
Para obter mais informações sobre funções escalares e tabulares (representadas pelas versões de pesquisa e resolução aqui, respectivamente), consulte Funções definidas pelo usuário na documentação do Kusto.
Funções de tipo de pesquisa
| Function | Entrada* | Saída | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código numérico do tipo de consulta DNS | Nome do tipo de consulta | Traduzir um tipo numérico de registro de recurso DNS (RR) para seu nome, conforme definido pela IANA |
| _ASIM_LookupDnsResponseCode | Código de resposta DNS numérico | Nome do código de resposta | Traduzir um código de resposta DNS numérico (RCODE) para o seu nome, conforme definido pela IANA |
| _ASIM_LookupICMPType | Tipo de ICMP numérico | Nome do tipo ICMP | Traduzir um tipo ICMP numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupNetworkProtocol | número do protocolo IP | Nome do protocolo IP | Traduzir um código de protocolo IP numérico para o seu nome, conforme definido pela IANA |
Resolver funções de tipo
As funções de formato de resolução executam a mesma ação que sua contraparte de pesquisa, mas aceitam um nome de campo, fornecido como uma constante de cadeia de caracteres, como entrada e configuram campos predefinidos como saída. O valor de entrada também é atribuído a um campo predefinido.
| Function | Campos estendidos |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType para o valor de entrada- DnsQueryTypeName para o valor de saída |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode para o valor de entrada- DnsResponseCodeName para o valor de saída |
| _ASIM_ResolveICMPType | - NetworkIcmpCode para o valor de entrada- NetworkIcmpType para o valor de pesquisa |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber para o valor de entrada- NetworkProtocol para o valor de pesquisa |
Funções auxiliares do analisador
As funções a seguir executam tarefas que são comuns em analisadores e úteis para acelerar o desenvolvimento do analisador.
Funções de resolução do dispositivo
As funções de resolução de dispositivo analisam um nome de host e determinam se ele tem informações de domínio e o tipo de notação de domínio. Em seguida, as funções preenchem os campos ASIM relevantes que representam um dispositivo. Todas as funções são funções de tipo de resolução e aceitam o nome do campo que contém o nome do host, representado como uma cadeia de caracteres, como entrada.
| Function | Campos estendidos | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analisa o valor no campo especificado e define os campos de saída de acordo. Para obter mais informações, consulte o exemplo no artigo sobre o desenvolvimento de analisadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Semelhante ao _ASIM_ResolveFQDN, mas define os Src campos |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Semelhante ao _ASIM_ResolveFQDN, mas define os Dst campos |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Semelhante ao _ASIM_ResolveFQDN, mas define os Dvc campos |
Funções de identificação da fonte
A função _ASIM_GetSourceBySourceType recupera a lista de fontes associadas a um tipo de fonte fornecido como entrada da SourceBySourceType Lista de observação. A função destina-se ao uso por escritores de analisadores. Para obter mais informações, consulte Filtrando por tipo de fonte usando uma Lista de observação.
Próximos passos
Este artigo descreve as funções de ajuda ASIM (Advanced Security Information Model).
Para obter mais informações, consulte:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Usando o modelo avançado de informações de segurança (ASIM)
- Modificando o conteúdo do Microsoft Sentinel para usar os analisadores ASIM (Advanced Security Information Model)