Вспомогательные функции расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
Вспомогательные функции расширенной информационной модели безопасности (ASIM) расширяют язык KQL, предоставляющий функциональные возможности для взаимодействия с нормализованными данными и средствами синтаксического анализа.
Функции подстановки обогащения
Функции подстановки обогащения предоставляют простой метод поиска известных значений на основе их числового представления. Такие функции полезны, так как события часто используют короткий числовый код формы, а пользователи предпочитают текстовую форму. Большинство функций имеют две формы:
Версия подстановки — это скалярная функция, которая принимает в качестве входных данных числовый код и возвращает текстовую форму.
Используйте следующий фрагмент кода KQL с версией подстановки:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Версия разрешения — это табличная функция, которая:
- Используется в качестве оператора конвейера KQL.
- Принимает в качестве входных данных имя поля, которое содержит значение для поиска.
- Задает поля ASIM, как правило, удерживая входное значение и результирующее значение подстановки.
Используйте следующий фрагмент кода KQL с версией разрешения :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Функция автоматически заполняет поле ASIM результатом поиска.
Версия разрешения предпочтительна для использования в средствах синтаксического анализа ASIM, а версия подстановки полезна в запросах общего назначения. Если функция подстановки обогащения должна возвращать несколько значений , она всегда будет использовать формат разрешения .
Дополнительные сведения о скалярных и табличных функциях (представленных подстановками и разрешением версий здесь, соответственно), см . в документации Kusto по определяемым пользователем функциям .
Функции типа подстановки
| Function | Ввод* | Выходные данные | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Код типа запроса DNS числового типа | Имя типа запроса | Преобразование числового типа записи ресурса DNS (RR) в имя в соответствии с IANA |
| _ASIM_LookupDnsResponseCode | Числовой код ответа DNS | Имя кода ответа | Преобразование числового кода отклика DNS (RCODE) в имя в соответствии с IANA |
| _ASIM_LookupICMPType | Числовой тип ICMP | Имя типа ICMP | Перевод числового типа ICMP в его имя, как определено IANA |
| _ASIM_LookupNetworkProtocol | номер IP-протокола. | Имя IP-протокола | Перевод числового кода IP-протокола в его имя, как определено IANA |
Разрешение функций типа
Функции разрешения формата выполняют то же действие, что и их аналог подстановки, но примите имя поля, предоставленное в виде строковой константы, в качестве входных и настроенных предопределенных полей в качестве выходных данных. Входное значение также назначается предопределенным полем.
| Function | Расширенные поля |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType для входного значения- DnsQueryTypeName для выходного значения |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode для входного значения- DnsResponseCodeName для выходного значения |
| _ASIM_ResolveICMPType | - NetworkIcmpCode для входного значения- NetworkIcmpType значение подстановки |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber для входного значения- NetworkProtocol значение подстановки |
Вспомогательные функции синтаксического анализатора
Следующие функции выполняют задачи, которые являются общими в средствах синтаксического анализа и полезны для ускорения разработки синтаксического анализа.
Функции разрешения устройств
Функции разрешения устройств анализируют имя узла и определяют, имеет ли он сведения о домене и тип нотации домена. Затем функции заполняют соответствующие поля ASIM, представляющие устройство. Все функции разрешают функции типа и принимают имя поля, содержащего имя узла, представленное в виде строки в качестве входных данных.
| Function | Расширенные поля | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Анализирует значение в указанном поле и задает соответствующие поля выходных данных. Дополнительные сведения см. в примере в статье о разработке средств синтаксического анализа. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Src поля |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dst поля |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dvc поля |
Функции идентификации источника
Функция _ASIM_GetSourceBySourceType извлекает список источников, связанных с типом источника, предоставленным в качестве входных данных из SourceBySourceType списка наблюдения. Функция предназначена для использования средствами записи синтаксического анализа. Дополнительные сведения см. в разделе "Фильтрация по типу источника" с помощью списка наблюдения.
Следующие шаги
В этой статье рассматриваются вспомогательные функции расширенной информационной модели безопасности (ASIM).
Дополнительные сведения см. в разделе:
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Использование расширенной информационной модели безопасности (ASIM)
- Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)