إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تعمل وظائف مساعد نموذج معلومات الأمان المتقدم (ASIM) على توسيع لغة KQL، مما يوفر وظائف تساعد في التفاعل مع البيانات الخاضعة للتسوية وفي كتابة أدوات التحليل.
وظائف البحث عن الإثراء
توفر وظائف البحث عن الإثراء طريقة سهلة للبحث عن القيم المعروفة، استنادا إلى تمثيلها الرقمي. هذه الدالات مفيدة لأن الأحداث غالبا ما تستخدم التعليمات البرمجية الرقمية للنموذج القصير، بينما يفضل المستخدمون النموذج النصي. تحتوي معظم الدالات على شكلين:
إصدار البحث هو دالة عددية تقبل كإدخل التعليمات البرمجية الرقمية وتعيد النموذج النصي.
استخدم القصاصة البرمجية KQL التالية مع إصدار البحث :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)إصدار الحل هو دالة جدولية:
- يستخدم كعامل تشغيل البنية الأساسية لبرنامج ربط العمليات التجارية KQL.
- يقبل كإدخل اسم الحقل الذي يحمل القيمة للبحث عنها.
- تعيين حقول ASIM التي تحتوي عادة على كل من قيمة الإدخال وقيمة البحث الناتجة.
استخدم مقتطف KQL التالي مع إصدار الحل :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)تملأ الدالة حقل ASIM تلقائيا بنتيجة البحث.
يفضل استخدام إصدار الحل في محللات ASIM، بينما يكون إصدار البحث مفيدا في استعلامات الأغراض العامة. عندما يجب أن ترجع دالة بحث الإثراء أكثر من قيمة واحدة، فإنها ستستخدم دائما تنسيق الحل .
لمزيد من المعلومات حول الدالات العددية والجدارية (ممثلة في إصدارات البحث وحلها هنا، على التوالي)، راجع الدالات المعرفة من قبل المستخدم في وثائق Kusto.
دوال نوع البحث
| الدالة | الادخال* | المخرجات | الوصف |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | رمز نوع استعلام DNS الرقمي | اسم نوع الاستعلام | ترجمة نوع سجل موارد (RR) رقمي لنظام أسماء المجالات إلى اسمه الذي يحدده IANA |
| _ASIM_LookupDnsResponseCode | رمز استجابة DNS الرقمي | اسم رمز الاستجابة | ترجمة تعليمة برمجية رقمية للاستجابة (RCODE) لنظام أسماء المجالات إلى اسمه الذي يحدده IANA |
| _ASIM_LookupICMPType | نوع ICMP الرقمي | اسم نوع ICMP | ترجمة نوع ICMP رقمي إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupNetworkProtocol | رقم بروتوكول IP | اسم بروتوكول IP | ترجمة رمز بروتوكول IP رقمي إلى اسمه، كما هو محدد بواسطة IANA |
حل دوال النوع
تقوم دالات تنسيق الحل بتنفيذ نفس الإجراء مثل نظير البحث الخاص بها، ولكنها تقبل اسم حقل، يتم توفيره كثابت سلسلة، كإدخال وإعداد حقول معرفة مسبقا كإخراج. يتم أيضا تعيين قيمة الإدخال إلى حقل معرف مسبقا.
| الدالة | الحقول الموسعة |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType لقيمة الإدخال- DnsQueryTypeName لقيمة الإخراج |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode لقيمة الإدخال- DnsResponseCodeName لقيمة الإخراج |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode لقيمة الإدخال- NetworkIcmpType لقيمة البحث |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber لقيمة الإدخال- NetworkProtocol لقيمة البحث |
دالات مساعد المحلل
تؤدي الوظائف التالية مهاما شائعة في المحللات ومفيدة لتسريع تطوير المحلل.
وظائف دقة الجهاز
تقوم وظائف تحليل الجهاز بتحليل اسم مضيف وتحديد ما إذا كان يحتوي على معلومات المجال ونوع تدوين المجال. ثم تقوم الدالات بتعبئة حقول ASIM ذات الصلة التي تمثل جهازا. جميع الدالات هي دالات نوع الحل وقبول اسم الحقل الذي يحتوي على اسم المضيف، ممثلة كسلسلة، كإدخل.
| الدالة | الحقول الموسعة | الوصف |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
يحلل القيمة في الحقل المحدد، ويعيّن حقول الإخراج وفقاً لها. لمزيد من المعلومات، راجع المثال المذكور في المقالة حول تطوير أدوات التحليل. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
مشابهة ل _ASIM_ResolveFQDN، ولكنها تعين Src الحقول |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
مشابهة ل _ASIM_ResolveFQDN، ولكنها تعين Dst الحقول |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
مشابهة ل _ASIM_ResolveFQDN، ولكنها تعين Dvc الحقول |
وظائف تعريف المصدر
تسترد الدالة _ASIM_GetSourceBySourceType قائمة المصادر المقترنة بنوع مصدر تم توفيره كمدخل من SourceBySourceType Watchlist. الدالة مخصصة للاستخدام من قبل كتاب المحللات. لمزيد من المعلومات، راجع التصفية حسب نوع المصدر باستخدام قائمة مراقبة.
الخطوات التالية
تتناول هذه المقالة وظائف المساعدة لنموذج معلومات الأمان المتقدم (ASIM).
لمزيد من المعلومات، راجع:
- شاهد ندوة الإنترنت المتعمقة حول محللات تسوية Microsoft Azure Sentinel والمحتوى الذي تمت تسويته أو راجع الشرائح
- نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
- مخططات نموذج معلومات الأمان المتقدم (ASIM)
- محللات نموذج معلومات الأمان المتقدم (ASIM)
- استخدام نموذج معلومات الأمان المتقدم (ASIM)
- تعديل محتوى Microsoft Sentinel لاستخدام أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)