Asim-hjälpfunktioner (Advanced Security Information Model) (offentlig förhandsversion)
Asim-hjälpfunktioner (Advanced Security Information Model) utökar KQL-språket med funktioner som hjälper dig att interagera med normaliserade data och skriva parsers.
Uppslagsfunktioner för berikande
Uppslagsfunktioner för berikande ger en enkel metod för att söka efter kända värden baserat på deras numeriska representation. Sådana funktioner är användbara eftersom händelser ofta använder den kortformsnumriska koden, medan användarna föredrar textformuläret. De flesta funktionerna har två former:
Uppslagsversionen är en skalär funktion som accepterar den numeriska koden som indata och returnerar textformuläret.
Använd följande KQL-kodfragment med uppslagsversionen:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Lösningsversionen är en tabellfunktion som:
- Används som KQL-pipelineoperator.
- Accepterar som indata namnet på fältet som innehåller det värde som ska slås upp.
- Anger ASIM-fälten som vanligtvis innehåller både indatavärdet och det resulterande uppslagsvärdet.
Använd följande KQL-kodfragment med lösningsversionen:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funktionen fyller automatiskt i ASIM-fältet med resultatet av sökningen.
Lös version är att föredra för användning i ASIM-parsare, medan uppslagsversionen är användbar i allmänna frågor. När en funktion för berikande sökning måste returnera mer än ett värde använder den alltid matchningsformatet.
Mer information om skalära och tabellfunktioner (som representeras av uppslags- och lösningsversionerna här) finns i Användardefinierade funktioner i Kusto-dokumentationen.
Funktioner för uppslagstyp
| Funktion | Inmatning* | Output | beskrivning |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerisk DNS-frågetypkod | Namn på frågetyp | Översätta en numerisk RR-typ (DNS-resurspost) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupDnsResponseCode | Numerisk DNS-svarskod | Namn på svarskod | Översätta en numerisk DNS-svarskod (RCODE) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupICMPType | Numerisk ICMP-typ | ICMP-typnamn | Översätta en numerisk ICMP-typ till dess namn, enligt definitionen i IANA |
| _ASIM_LookupNetworkProtocol | IP-protokollnumret | IP-protokollnamn | Översätta en numerisk IP-protokollkod till dess namn enligt definitionen i IANA |
Lösa typfunktioner
Funktionerna för matchningsformat utför samma åtgärd som deras uppslagsmotsvarighet, men accepterar ett fältnamn, som tillhandahålls som en strängkonstant, som indata och konfigurerar fördefinierade fält som utdata. Indatavärdet tilldelas också till ett fördefinierat fält.
| Funktion | Utökade fält |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType för indatavärdet- DnsQueryTypeName för utdatavärdet |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode för indatavärdet- DnsResponseCodeName för utdatavärdet |
| _ASIM_ResolveICMPType | - NetworkIcmpCode för indatavärdet- NetworkIcmpType för uppslagsvärdet |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber för indatavärdet- NetworkProtocol för uppslagsvärdet |
Hjälpfunktioner för parser
Följande funktioner utför uppgifter som är vanliga i parsers och som är användbara för att påskynda parsningsutvecklingen.
Funktioner för enhetsupplösning
Funktionerna för enhetsmatchning analyserar ett värdnamn och avgör om det har domäninformation och typen av domän notation. Funktionerna fyller sedan i relevanta ASIM-fält som representerar en enhet. Alla funktioner är lös typfunktioner och accepterar namnet på fältet som innehåller värdnamnet, som representeras som en sträng, som indata.
| Funktion | Utökade fält | beskrivning |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyserar värdet i det angivna fältet och anger utdatafälten därefter. Mer information finns i exemplet i artikeln om att utveckla parsers. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dvc |
Funktioner för källidentifiering
Funktionen _ASIM_GetSourceBySourceType hämtar listan över källor som är associerade med en källtyp som anges som indata från bevakningslistan SourceBySourceType . Funktionen är avsedd att användas av parserskrivare. Mer information finns i Filtrera efter källtyp med hjälp av en bevakningslista.
Nästa steg
I den här artikeln beskrivs asim-hjälpfunktionerna (Advanced Security Information Model).
Mer information finns i:
- Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parsare och normaliserat innehåll eller granska bilderna
- Översikt över Advanced Security Information Model (ASIM)
- ASIM-scheman (Advanced Security Information Model)
- Asim-parsers (Advanced Security Information Model)
- Använda ASIM (Advanced Security Information Model)
- Ändra Microsoft Sentinel-innehåll till att använda ASIM-parsarna (Advanced Security Information Model)