Hjälpfunktioner för Advanced Security Information Model (ASIM) (allmänt tillgänglig förhandsversion)
Asim-hjälpfunktioner (Advanced Security Information Model) utökar KQL-språket med funktioner som hjälper dig att interagera med normaliserade data och skriva parser.
Funktioner för berikande sökning
Uppslagsfunktioner för berikning är en enkel metod för att söka efter kända värden baserat på deras numeriska representation. Sådana funktioner är användbara eftersom händelser ofta använder kortformens numeriska kod, medan användarna föredrar textformuläret. De flesta funktioner har två former:
Uppslagsversionen är en skalär funktion som accepterar den numeriska koden som indata och returnerar textformuläret. Använd följande KQL-kodfragment med uppslagsversionen :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
Lösningens version är en tabellfunktion som:
- Används som KQL-pipelineoperator.
- Accepterar som indata namnet på fältet som innehåller det värde som ska slås upp.
- Anger de ASIM-fält som vanligtvis innehåller både indatavärdet och det resulterande uppslagsvärdet.
Använd följande KQL-kodfragment med lösningens version:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Vilket automatiskt fyller i fältet NetworkProtocol med resultatet av sökningen.
Lös version är att föredra för användning i ASIM-parser, medan uppslagsversionen är användbar i allmänna frågor. När en funktion för berikande sökning måste returnera fler än ett värde använder den alltid matchningsformatet .
Funktioner för uppslagstyp
| Funktion | Input* | Utdata | Beskrivning |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerisk DNS-frågetypkod | Namn på frågetyp | Översätt en numerisk RR-typ (DNS-resurspost) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupDnsResponseCode | Numerisk DNS-svarskod | Namn på svarskod | Översätt en numerisk DNS-svarskod (RCODE) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupICMPType | Numerisk ICMP-typ | ICMP-typnamn | Översätt en numerisk ICMP-typ till dess namn, enligt definitionen i IANA |
| _ASIM_LookupNetworkProtocol | IP-protokollnumret | IP-protokollnamn | Översätta en numerisk IP-protokollkod till dess namn, enligt definitionen i IANA |
Lösa typfunktioner
Funktionerna för matchningsformat utför samma åtgärd som deras uppslagsmotsvarighet, men accepterar ett fältnamn som anges som en strängkonstant som indata och konfigurerar fördefinierade fält som utdata. Indatavärdet tilldelas också till ett fördefinierat fält.
| Funktion | Utökade fält |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType för indatavärdet- DnsQueryTypeName för utdatavärdet |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode för indatavärdet- DnsResponseCodeName för utdatavärdet |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode för indatavärdet- NetworkIcmpType för uppslagsvärdet |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber för indatavärdet- NetworkProtocol för uppslagsvärdet |
Hjälpfunktioner för parser
Följande funktioner utför uppgifter som är vanliga i parsrar och som är användbara för att påskynda parsningsutvecklingen.
Funktioner för enhetsupplösning
Enhetsmatchningsfunktionerna analyserar ett värdnamn och avgör om det finns domäninformation och typen av domännotation. Funktionerna fyller sedan i de relevanta ASIM-fälten som representerar en enhet. Alla funktioner är lös typfunktioner och accepterar namnet på fältet som innehåller värdnamnet, som representeras som en sträng, som indata.
| Funktion | Utökade fält | Beskrivning |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyserar värdet i det angivna fältet och anger utdatafälten därefter. Mer information finns i exemplet i artikeln om att utveckla parsers. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dvc |
Funktioner för källidentifiering
Funktionen _ASIM_GetSourceBySourceType hämtar listan över källor som är associerade med en källtyp som tillhandahålls som indata från visningslistan SourceBySourceType . Funktionen är avsedd att användas av parsers-skrivare. Mer information finns i Filtrera efter källtyp med hjälp av en visningslista.
Nästa steg
I den här artikeln beskrivs hjälpfunktionerna för Advanced Security Information Model (ASIM).
Mer information finns i:
- Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parser och normaliserat innehåll eller granska bilderna
- Översikt över Advanced Security Information Model (ASIM)
- ASIM-scheman (Advanced Security Information Model)
- Parser för Advanced Security Information Model (ASIM)
- Använda Advanced Security Information Model (ASIM)
- Ändra Microsoft Sentinel-innehåll till att använda ASIM-parser (Advanced Security Information Model)