進階安全性資訊模型（ASIM）協助程式函式（公開預覽）

進階安全性資訊模型（ASIM）協助程式函式會擴充 KQL 語言，以提供可協助與標準化數據和撰寫剖析器互動的功能。

擴充查閱函式

擴充查閱函式會根據其數值表示法，提供查閱已知值的簡單方法。這類函式很實用，因為事件通常會使用簡短格式的數值程式代碼，而使用者偏好使用文字形式。大部分的函式都有兩種形式：

解析版本最好用於 ASIM 剖析器，而查閱版本在一般用途查詢中很有用。當擴充查閱函式必須傳回一個以上的值時，它一律會使用解析格式。

如需純量和表格式函式的詳細資訊（分別以查閱和解析版本表示），請參閱 Kusto 檔中的使用者定義函式。

函式	輸入*	輸出	描述
_ASIM_LookupDnsQueryType	數值 DNS 查詢類型代碼	查詢類型名稱	將數值 DNS 資源記錄（RR）類型轉譯為其名稱，如 IANA 所定義
_ASIM_LookupDnsResponseCode	數值 DNS 回應碼	回應碼名稱	將數值 DNS 回應碼（RCODE）轉譯為其名稱，如 IANA 所定義
_ASIM_LookupICMPType	數值ICMP類型	ICMP 類型名稱	將數值ICMP類型轉譯為其名稱，如IANA所定義
_ASIM_LookupNetworkProtocol	IP 通訊協定數字	IP 通訊協定名稱	將數值IP通訊協定程式代碼轉譯為其名稱，如IANA所定義

解析格式函式會執行與其查閱對應專案相同的動作，但接受功能變數名稱，提供做為字串常數，做為輸入，並將預先定義的欄位設定為輸出。輸入值也會指派給預先定義的欄位。

函式	擴充欄位
_ASIM_ResolveDnsQueryType	- `DnsQueryType` 輸入值 - `DnsQueryTypeName` 針對輸出值
_ASIM_ResolveDnsResponseCode	- `DnsResponseCode` 輸入值 - `DnsResponseCodeName` 針對輸出值
_ASIM_ResolveICMPType	- `NetworkIcmpCode` 輸入值 - `NetworkIcmpType` 用於查閱值
_ASIM_ResolveNetworkProtocol	- `NetworkProtocolNumber` 輸入值 - `NetworkProtocol` 用於查閱值

下列函式會執行剖析器中常見的工作，並有助於加速剖析器開發。

裝置解析函式會分析主機名，並判斷其是否有網域資訊和網域表示法的類型。函式接著會填入代表裝置的相關 ASIM 欄位。所有函式都是解析類型函式，並接受包含主機名的功能變數名稱，以字串表示為輸入。

函式	擴充欄位	描述
_ASIM_ResolveFQDN	- `ExtractedHostname` - `Domain` - `DomainType` - `FQDN`	分析指定之欄位中的值，並據以設定輸出欄位。如需詳細資訊，請參閱開發剖析器一文中的範例。
_ASIM_ResolveSrcFQDN	- `SrcHostname` - `SrcDomain` - `SrcDomainType` - `SrcFQDN`	類似於 `_ASIM_ResolveFQDN`，但會設定 `Src` 欄位
_ASIM_ResolveDstFQDN	- `DstHostname` - `DstDomain` - `DstDomainType` - `SrcFQDN`	類似於 `_ASIM_ResolveFQDN`，但會設定 `Dst` 欄位
_ASIM_ResolveDvcFQDN	- `DvcHostname` - `DvcDomain` - `DvcDomainType` - `DvcFQDN`	類似於 `_ASIM_ResolveFQDN`，但會設定 `Dvc` 欄位

_ASIM_GetSourceBySourceType函式會擷取與提供作為監看清單輸入SourceBySourceType的來源類型相關聯的來源清單。函式供剖析器寫入器使用。如需詳細資訊，請參閱使用關注清單依來源類型進行篩選。

本文討論進階安全性資訊模型（ASIM）說明函式。

如需詳細資訊，請參閱