共用方式為


進階安全性資訊模型 (ASIM) 協助程式函數 (公開預覽版)

進階安全性資訊模型 (ASIM) 協助程式函數會擴充 KQL 語言,以提供可協助與標準化資料互動和撰寫剖析器的功能。

擴充查閱函式

擴充查閱函式會根據其數值表示,提供簡單的查閱已知值方法。 這類函式很實用,因為事件通常會使用簡短格式的數值程式碼,而使用者偏好文字形式。 大部分函式都有兩種形式:

查閱版本是純量函式,可接受做為數值代碼的輸入,並傳回文字形式。 搭配 查閱 版本使用下列 KQL 程式碼片段:

| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)

解析版本是表格式函式,可:

  • 是使用 KQL 管線運算子。
  • 接受 做為輸入,其中保存要查閱值的功能變數名稱。
  • 設定 ASIM 欄位通常會同時保存輸入值和產生的查閱值。

搭配 解析 版本使用下列 KQL 程式碼片段:

| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)

這會自動填入 [NetworkProtocol] 欄位,並顯示查閱的結果。

解析版本最好用於 ASIM 剖 器,而查閱版本在一般用途查詢中很有用。 當擴充查閱函式必須傳回多個值時,它一律會使用 解析 格式。

查閱類型函式

函式 輸入* 輸出 描述
_ASIM_LookupDnsQueryType 數值 DNS 查詢類型代碼 查詢類型名稱 將數值 DNS 資源記錄 (RR) 類型轉譯為其名稱,如 IANA 所定義
_ASIM_LookupDnsResponseCode 數值 DNS 回應碼 回應碼名稱 將數值 DNS 回應碼 (RCODE) 轉譯為其名稱,如 IANA 所定義
_ASIM_LookupICMPType 數值 ICMP 類型 ICMP 類型名稱 將數值 ICMP 類型轉譯為其名稱,如IANA所定義
_ASIM_LookupNetworkProtocol IP 通訊協定數字 IP 通訊協定名稱 將數值 IP 通訊協定程式碼轉譯為其名稱,如IANA所定義

解析類型函式

解析格式函式會執行與其查閱對應專案相同的動作,但接受以字串常數形式提供的功能變數名稱,做為輸入,並將預先定義的欄位設定為輸出。 輸入值也會指派給預先定義的欄位。

函式 擴充欄位
_ASIM_ResolveDnsQueryType - DnsQueryType 輸入值的
- DnsQueryTypeName 輸出值的
_ASIM_ResolveDnsResponseCode - DnsResponseCode 輸入值的
- DnsResponseCodeName 輸出值的
_ASIM_ResolveICMPType - NetworkIcmpCode 輸入值的
- NetworkIcmpType 針對查閱值
_ASIM_ResolveNetworkProtocol - NetworkProtocolNumber 輸入值的
- NetworkProtocol 針對查閱值

剖析器協助程式函式

下列函式會執行剖析器中常見的工作,並有助於加速剖析器開發。

裝置解析度功能

裝置解析函式會分析主機名稱,並判斷它是否有網域資訊和網域標記法的類型。 函式接著會填入代表裝置的相關 ASIM 欄位。 所有函式都是解析類型函式,並接受包含主機名稱的功能變數名稱,以字串表示做為輸入。

函式 擴充欄位 描述
_ASIM_ResolveFQDN - ExtractedHostname
- Domain
- DomainType
- FQDN
分析指定欄位中的值,並據以設定輸出欄位。 如需詳細資訊,請參閱有關開發剖析器文章中的範例
_ASIM_ResolveSrcFQDN - SrcHostname
- SrcDomain
- SrcDomainType
- SrcFQDN
_ASIM_ResolveFQDN類似于 ,但會設定 Src 欄位
_ASIM_ResolveDstFQDN - DstHostname
- DstDomain
- DstDomainType
- SrcFQDN
_ASIM_ResolveFQDN類似于 ,但會設定 Dst 欄位
_ASIM_ResolveDvcFQDN - DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
_ASIM_ResolveFQDN類似于 ,但會設定 Dvc 欄位

來源識別函式

_ASIM_GetSourceBySourceType函式會擷 SourceBySourceType 取與作為監看清單輸入之來源類型相關聯的來源清單。 函式適用于剖析器寫入器。 如需詳細資訊,請參閱 使用監看清單依來源類型篩選

後續步驟

本文討論進階安全性資訊模型 (ASIM) 協助程式函數。

如需詳細資訊,請參閱