Вспомогательные функции расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
Вспомогательные функции расширенной информационной модели безопасности (ASIM) расширяют язык KQL, предоставляющий функциональные возможности для взаимодействия с нормализованными данными и средствами синтаксического анализа.
Функции поиска обогащения
Функции поиска обогащения предоставляют простой метод поиска известных значений на основе их числового представления. Такие функции полезны, так как события часто используют короткий числовый код, в то время как пользователи предпочитают текстовую форму. Большинство функций имеют две формы:
Версия подстановки — это скалярная функция, которая принимает в качестве входных данных числовой код и возвращает текстовую форму. Используйте следующий фрагмент KQL с версией подстановки :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
Версия разрешения — это табличная функция, которая:
- Используется оператор конвейера KQL.
- Принимает в качестве входных данных имя поля, которое содержит значение для поиска.
- Задает поля ASIM, которые обычно удерживают как входное значение, так и результирующее значение подстановки.
Используйте следующий фрагмент кода KQL с версией разрешения :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Который автоматически заполняет поле NetworkProtocol результатом поиска.
Версия разрешения предпочтительна для использования в средствах синтаксического анализа ASIM, а версия подстановки полезна в запросах общего назначения. Если функция поиска обогащения должна возвращать несколько значений, она всегда будет использовать формат разрешения .
Функции типов подстановки
| Функция | Вход* | Выходные данные | Описание |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Код числового типа запроса DNS | Имя типа запроса | Преобразование числового типа записи ресурса DNS (RR) в имя в соответствии с IANA |
| _ASIM_LookupDnsResponseCode | Числовой код ответа DNS | Имя кода ответа | Преобразование числового кода отклика DNS (RCODE) в имя в соответствии с IANA |
| _ASIM_LookupICMPType | Числовой тип ICMP | Имя типа ICMP | Преобразование числового типа ICMP в его имя в соответствии с определением IANA |
| _ASIM_LookupNetworkProtocol | Номер IP-протокола | Имя протокола IP | Преобразование числового кода протокола IP в его имя в соответствии с определением IANA |
Разрешение функций типов
Функции формата разрешения выполняют то же действие, что и их аналог подстановки, но принимают имя поля в виде строковой константы в качестве входных данных и настраивают предопределенные поля в качестве выходных данных. Входное значение также присваивается предопределеному полю.
| Функция | Расширенные поля |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType для входного значения- DnsQueryTypeName для выходного значения |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode для входного значения- DnsResponseCodeName для выходного значения |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode для входного значения- NetworkIcmpType для значения подстановки |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber для входного значения- NetworkProtocol для значения подстановки |
Вспомогательные функции средства синтаксического анализа
Следующие функции выполняют задачи, распространенные в средствах синтаксического анализа и полезные для ускорения разработки средств синтаксического анализа.
Функции разрешения устройств
Функции разрешения устройств анализируют имя узла и определяют, содержит ли он сведения о домене и тип нотации домена. Затем функции заполняют соответствующие поля ASIM, представляющие устройство. Все функции разрешают типы и принимают имя поля, содержащего имя узла, представленное в виде строки, в качестве входных данных.
| Функция | Расширенные поля | Описание |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Анализирует значение в указанном поле и задает соответствующие поля выходных данных. Дополнительные сведения см. в примере в статье о разработке средств синтаксического анализа. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Src поля |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dst поля |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dvc поля |
Функции идентификации источника
Функция _ASIM_GetSourceBySourceType извлекает список источников, связанных с типом источника, предоставленным в качестве входных данных из списка отслеживания SourceBySourceType . Функция предназначена для использования средствами синтаксического анализа. Дополнительные сведения см. в разделе Фильтрация по типу источника с помощью списка отслеживания.
Дальнейшие шаги
В этой статье рассматриваются вспомогательные функции расширенной информационной модели безопасности (ASIM).
Дополнительные сведения см. в разделе:
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Использование расширенной информационной модели безопасности (ASIM)
- Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)