إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تعمل وظائف مساعد نموذج معلومات الأمان المتقدم (ASIM) على توسيع لغة KQL التي توفر وظائف تساعد على التفاعل مع البيانات التي تمت تسويتها وفي تحليلات الكتابة.
وظائف البحث عن الإثراء
توفر وظائف البحث عن الإثراء طريقة سهلة للبحث عن القيم المعروفة، استنادا إلى تمثيلها الرقمي. هذه الدالات مفيدة لأن الأحداث غالبا ما تستخدم التعليمات البرمجية الرقمية للنموذج القصير، بينما يفضل المستخدمون النموذج النصي. تحتوي معظم الدالات على شكلين:
إصدار البحث هو دالة عددية تقبل كإدخل التعليمات البرمجية الرقمية وتعيد النموذج النصي.
استخدم القصاصة البرمجية KQL التالية مع إصدار البحث :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)إصدار الحل هو دالة جدولية:
- يستخدم كعامل تشغيل البنية الأساسية لبرنامج ربط العمليات التجارية KQL.
- يقبل كإدخل اسم الحقل الذي يحمل القيمة للبحث عنها.
- يعين حقول ASIM عادة مع الاستمرار في كل من قيمة الإدخال وقيمة البحث الناتجة.
استخدم القصاصة البرمجية KQL التالية مع إصدار الحل :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)تملأ الدالة حقل ASIM تلقائيا بنتيجة البحث.
يفضل استخدام إصدار الحل في محللات ASIM، بينما يكون إصدار البحث مفيدا في استعلامات الأغراض العامة. عندما يجب أن ترجع دالة بحث الإثراء أكثر من قيمة واحدة، فإنها ستستخدم دائما تنسيق الحل .
لمزيد من المعلومات حول الدالات العددية والجدارية (ممثلة بإصدارات البحث والحل هنا، على التوالي)، راجع الدالات المعرفة من قبل المستخدم في وثائق Kusto.
دوال نوع البحث
| وظيفه | الادخال* | الاخراج | الوصف |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | رمز نوع استعلام DNS الرقمي | اسم نوع الاستعلام | ترجمة نوع سجل مورد DNS رقمي (RR) إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupDnsResponseCode | رمز استجابة DNS الرقمي | اسم رمز الاستجابة | ترجمة رمز استجابة DNS رقمي (RCODE) إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupICMPType | نوع ICMP الرقمي | اسم نوع ICMP | ترجمة نوع ICMP رقمي إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupNetworkProtocol | رقم بروتوكول IP | اسم بروتوكول IP | ترجمة رمز بروتوكول IP رقمي إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupHTTPStatusCode | رمز حالة HTTP | اسم رمز حالة HTTP | ترجمة رمز حالة HTTP رقمي إلى اسمه، كما هو محدد بواسطة IANA. يدعم أيضا رموز الحالة الموسعة المستخدمة من قبل IIS وخوادم الويب الأخرى. |
| _ASIM_LookupAADcodes | رمز خطأ Microsoft Entra ID STS | فئة الخطأ | ترجمة رمز خطأ Microsoft Entra ID STS إلى فئة الخطأ الخاصة به، مثل Logon violates policy أو No such user or password. |
حل دوال النوع
تنفذ دالات تنسيق الحل نفس الإجراء مثل نظير البحث الخاص بها، ولكنها تقبل اسم حقل، يتم توفيره كثابت سلسلة، كإدخال وإعداد حقول معرفة مسبقا كإخراج. يتم أيضا تعيين قيمة الإدخال إلى حقل محدد مسبقا.
| وظيفه | الحقول الموسعة |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType لقيمة الإدخال- DnsQueryTypeName لقيمة الإخراج |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode لقيمة الإدخال- DnsResponseCodeName لقيمة الإخراج |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode لقيمة الإدخال- NetworkIcmpType لقيمة البحث |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber لقيمة الإدخال- NetworkProtocol لقيمة البحث |
دالات مساعد المحلل
تؤدي الوظائف التالية مهاما شائعة في المحللات ومفيدة لتسريع تطوير المحلل.
وظائف دقة الجهاز
تقوم وظائف تحليل الجهاز بتحليل اسم مضيف وتحديد ما إذا كان يحتوي على معلومات المجال ونوع تدوين المجال. ثم تملأ الدالات حقول ASIM ذات الصلة التي تمثل جهازا. جميع الدالات هي دالات نوع الحل وقبول اسم الحقل الذي يحتوي على اسم المضيف، ممثل كسلسلة، كإدخل.
| وظيفه | الحقول الموسعة | الوصف |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
تحليل القيمة في الحقل المحدد وتعيين حقول الإخراج وفقا لذلك. لمزيد من المعلومات، راجع المثال في المقالة حول تطوير المحللات. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
على _ASIM_ResolveFQDNغرار ، ولكن يعين Src الحقول |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
على _ASIM_ResolveFQDNغرار ، ولكن يعين Dst الحقول |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
على _ASIM_ResolveFQDNغرار ، ولكن يعين Dvc الحقول |
وظائف نوع المستخدم
تساعد وظائف نوع المستخدم في تحديد نوع المستخدم استنادا إلى أنماط اسم المستخدم أو معرفات الأمان (SIDs).
| وظيفه | الادخال | الاخراج | الوصف |
|---|---|---|---|
| _ASIM_GetUsernameType | سلسلة اسم المستخدم | نوع اسم المستخدم | إرجاع نوع اسم المستخدم استنادا إلى تنسيق اسم المستخدم. تتضمن UPN القيم المحتملة (لأسماء المستخدمين التي تشبه البريد الإلكتروني) Windows أو (لتنسيق المجال/المستخدم) DN أو (للأسماء المميزة) Simpleأو فارغة إذا كان اسم المستخدم فارغا. |
| _ASIM_GetWindowsUserType | سلسلة اسم المستخدم، سلسلة SID | نوع المستخدم | إرجاع نوع المستخدم لأنظمة Windows استنادا إلى اسم المستخدم ومعرف الأمان (SID). تتضمن Adminالقيم المحتملة أو Guestأو Serviceأو Machineأو Systemأو RegularAnonymousأو أو .Other |
| _ASIM_GetUserType | سلسلة اسم المستخدم، سلسلة SID | نوع المستخدم | اهمالها. استخدم _ASIM_GetWindowsUserType بدلا من ذلك. يعين UserType في أنظمة Windows استنادا إلى اسم المستخدم وSID. |
وظائف تعريف المصدر
تسترد الدالة _ASIM_GetSourceBySourceType قائمة المصادر المقترنة بنوع مصدر تم توفيره كإدخل من SourceBySourceType قائمة المراقبة. الدالة مخصصة للاستخدام من قبل كتاب المحللات. لمزيد من المعلومات، راجع التصفية حسب نوع المصدر باستخدام قائمة المشاهدة.
تقرأ ASimDisabledParsers الدالة _ASIM_GetDisabledParsers قائمة المشاهدة وتحدد استنادا إليها ما إذا كان المحلل المقدم كمعلمة معطلا. يتم استخدام هذه الدالة داخليا بواسطة محللات ASIM لدعم تعطيل محللات معينة.
وظائف قائمة المشاهدة
توفر وظائف قائمة المشاهدة أساليب محسنة لقراءة قوائم المشاهدة في محللات ASIM.
| وظيفه | الادخال | الاخراج | الوصف |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | الاسم المستعار لقائمة المشاهدة (سلسلة)، المفاتيح الاختيارية (صفيف ديناميكي) | عناصر قائمة المشاهدة | يقرأ قائمة مشاهدة واحدة بتنسيق أولي. أكثر أداء من الدالة العامة _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | الأسماء المستعارة لقائمة المشاهدة (صفيف ديناميكي)، مفاتيح اختيارية (صفيف ديناميكي) | عناصر قائمة المشاهدة | يقرأ قوائم مشاهدة متعددة بتنسيق أولي. توفر حالة الاستخدام الأساسية خيارا لاستخدام أسماء قوائم مشاهدة متعددة لنفس قائمة المشاهدة. |
وظائف إثراء الهوية
تساعد وظائف إثراء الهوية في إثراء بياناتك بمعلومات المستخدم من جدول UEBA IdentityInfo.
| وظيفه | الادخال | الاخراج | الوصف |
|---|---|---|---|
| _ASIM_IdentityInfo | بلا | جدول IdentityInfo الذي تمت تسويته | إلغاء تكرار جدول IdentityInfo وتطبيعه لتحسين إمكانية استخدامه في الاستعلامات. إرجاع جدول غير مكرر بأسماء حقول تمت تسويتها بواسطة ASIM. |
| _ASIM_Enrich_IdentityInfo | جدول الإدخال، معلمات اسم الحقل | جدول تم إثرائه | إثراء مجموعة النتائج بمعلومات المستخدم من جدول IdentityInfo. استخدم المعلمات لتحديد الحقل الذي يجب استخدامه للمطابقة: AadIdFieldأو TenantIdFieldأو UpnFieldSidFieldأو أو EmailField. |
الخطوات التالية
تتناول هذه المقالة وظائف تعليمات نموذج معلومات الأمان المتقدم (ASIM).
لمزيد من المعلومات، اطلع على:
- شاهد ندوة ويب الغوص العميق على Microsoft Sentinel تسوية المحللات والمحتوى الذي تمت تسويته أو مراجعة الشرائح
- نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
- مخططات نموذج معلومات الأمان المتقدم (ASIM)
- محللات نموذج معلومات الأمان المتقدم (ASIM)
- استخدام نموذج معلومات الأمان المتقدم (ASIM)
- تعديل محتوى Microsoft Sentinel لاستخدام محللات نموذج معلومات الأمان المتقدم (ASIM)