إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تعمل وظائف مساعد نموذج معلومات الأمان المتقدم (ASIM) على توسيع لغة KQL، مما يوفر وظائف تساعد في التفاعل مع البيانات الخاضعة للتسوية وفي كتابة أدوات التحليل.
وظائف البحث عن الإثراء
توفر وظائف البحث عن الإثراء طريقة سهلة للبحث عن القيم المعروفة، استنادا إلى تمثيلها الرقمي. هذه الدالات مفيدة لأن الأحداث غالبا ما تستخدم التعليمات البرمجية الرقمية للنموذج القصير، بينما يفضل المستخدمون النموذج النصي. تحتوي معظم الدالات على شكلين:
إصدار البحث هو دالة عددية تقبل كإدخل التعليمات البرمجية الرقمية وتعيد النموذج النصي.
استخدم القصاصة البرمجية KQL التالية مع إصدار البحث :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)إصدار الحل هو دالة جدولية:
- يستخدم كعامل تشغيل البنية الأساسية لبرنامج ربط العمليات التجارية KQL.
- يقبل كإدخل اسم الحقل الذي يحمل القيمة للبحث عنها.
- تعيين حقول ASIM التي تحتوي عادة على كل من قيمة الإدخال وقيمة البحث الناتجة.
استخدم مقتطف KQL التالي مع إصدار الحل :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)تملأ الدالة حقل ASIM تلقائيا بنتيجة البحث.
يفضل استخدام إصدار الحل في محللات ASIM، بينما يكون إصدار البحث مفيدا في استعلامات الأغراض العامة. عندما يجب أن ترجع دالة بحث الإثراء أكثر من قيمة واحدة، فإنها ستستخدم دائما تنسيق الحل .
لمزيد من المعلومات حول الدالات العددية والجدارية (ممثلة في إصدارات البحث وحلها هنا، على التوالي)، راجع الدالات المعرفة من قبل المستخدم في وثائق Kusto.
دوال نوع البحث
| الدالة | الادخال* | المخرجات | الوصف |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | رمز نوع استعلام DNS الرقمي | اسم نوع الاستعلام | ترجمة نوع سجل موارد (RR) رقمي لنظام أسماء المجالات إلى اسمه الذي يحدده IANA |
| _ASIM_LookupDnsResponseCode | رمز استجابة DNS الرقمي | اسم رمز الاستجابة | ترجمة تعليمة برمجية رقمية للاستجابة (RCODE) لنظام أسماء المجالات إلى اسمه الذي يحدده IANA |
| _ASIM_LookupICMPType | نوع ICMP الرقمي | اسم نوع ICMP | ترجمة نوع ICMP رقمي إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupNetworkProtocol | رقم بروتوكول IP | اسم بروتوكول IP | ترجمة رمز بروتوكول IP رقمي إلى اسمه، كما هو محدد بواسطة IANA |
| _ASIM_LookupHTTPStatusCode | رمز حالة HTTP | اسم رمز حالة HTTP | ترجمة رمز حالة HTTP رقمي إلى اسمه، كما هو محدد بواسطة IANA. يدعم أيضا رموز الحالة الموسعة المستخدمة من قبل IIS وخوادم الويب الأخرى. |
| _ASIM_LookupAADcodes | رمز الخطأ STS لمعرف Microsoft Entra | صنف الأخطاء | ترجمة رمز خطأ MICROSOFT Entra ID STS إلى فئة الخطأ الخاصة به، مثل Logon violates policy أو No such user or password. |
حل دوال النوع
تقوم دالات تنسيق الحل بتنفيذ نفس الإجراء مثل نظير البحث الخاص بها، ولكنها تقبل اسم حقل، يتم توفيره كثابت سلسلة، كإدخال وإعداد حقول معرفة مسبقا كإخراج. يتم أيضا تعيين قيمة الإدخال إلى حقل معرف مسبقا.
| الدالة | الحقول الموسعة |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType لقيمة الإدخال- DnsQueryTypeName لقيمة الإخراج |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode لقيمة الإدخال- DnsResponseCodeName لقيمة الإخراج |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode لقيمة الإدخال- NetworkIcmpType لقيمة البحث |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber لقيمة الإدخال- NetworkProtocol لقيمة البحث |
دالات مساعد المحلل
تؤدي الوظائف التالية مهاما شائعة في المحللات ومفيدة لتسريع تطوير المحلل.
وظائف دقة الجهاز
تقوم وظائف تحليل الجهاز بتحليل اسم مضيف وتحديد ما إذا كان يحتوي على معلومات المجال ونوع تدوين المجال. ثم تقوم الدالات بتعبئة حقول ASIM ذات الصلة التي تمثل جهازا. جميع الدالات هي دالات نوع الحل وقبول اسم الحقل الذي يحتوي على اسم المضيف، ممثلة كسلسلة، كإدخل.
| الدالة | الحقول الموسعة | الوصف |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
يحلل القيمة في الحقل المحدد، ويعيّن حقول الإخراج وفقاً لها. لمزيد من المعلومات، راجع المثال المذكور في المقالة حول تطوير أدوات التحليل. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
مشابهة ل _ASIM_ResolveFQDN، ولكنها تعين Src الحقول |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
مشابهة ل _ASIM_ResolveFQDN، ولكنها تعين Dst الحقول |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
مشابهة ل _ASIM_ResolveFQDN، ولكنها تعين Dvc الحقول |
دوال نوع المستخدم
تساعد وظائف نوع المستخدم في تحديد نوع المستخدم استنادا إلى أنماط اسم المستخدم أو معرفات الأمان (SIDs).
| الدالة | إدخال | المخرجات | الوصف |
|---|---|---|---|
| _ASIM_GetUsernameType | سلسلة اسم المستخدم | نوع اسم المستخدم | إرجاع نوع اسم المستخدم استنادا إلى تنسيق اسم المستخدم. تتضمن UPN القيم المحتملة (لأسماء المستخدمين التي تشبه البريد الإلكتروني) Windows أو (لتنسيق المجال/المستخدم) DN أو (للأسماء المميزة) Simpleأو فارغة إذا كان اسم المستخدم فارغا. |
| _ASIM_GetWindowsUserType | سلسلة اسم المستخدم، سلسلة SID | نوع المستخدم | إرجاع نوع المستخدم لأنظمة Windows استنادا إلى اسم المستخدم ومعرف الأمان (SID). تتضمن Adminالقيم المحتملة أو Guestأو Serviceأو Machineأو AnonymousSystemRegularOther. |
| _ASIM_GetUserType | سلسلة اسم المستخدم، سلسلة SID | نوع المستخدم | مهملة. استخدم _ASIM_GetWindowsUserType بدلاً من ذلك. تعيين UserType في أنظمة Windows استنادا إلى اسم المستخدم وSID. |
وظائف تعريف المصدر
تسترد الدالة _ASIM_GetSourceBySourceType قائمة المصادر المقترنة بنوع مصدر تم توفيره كمدخل من SourceBySourceType Watchlist. الدالة مخصصة للاستخدام من قبل كتاب المحللات. لمزيد من المعلومات، راجع التصفية حسب نوع المصدر باستخدام قائمة مراقبة.
تقرأ ASimDisabledParsers الدالة _ASIM_GetDisabledParsers قائمة المراقبة وتحدد استنادا إليها ما إذا كان المحلل المقدم كمعلمة معطلا. يتم استخدام هذه الدالة داخليا من قبل محللي ASIM لدعم تعطيل محللات معينة.
وظائف قائمة المشاهدة
توفر وظائف قائمة المشاهدة أساليب محسنة لقراءة قوائم المشاهدة في محللات ASIM.
| الدالة | إدخال | المخرجات | الوصف |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | الاسم المستعار لقائمة المشاهدة (سلسلة)، المفاتيح الاختيارية (صفيف ديناميكي) | عناصر قائمة المشاهدة | قراءة قائمة مشاهدة واحدة بتنسيق أولي. أكثر أداء من الدالة العامة _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | الأسماء المستعارة لقائمة المشاهدة (صفيف ديناميكي)، مفاتيح اختيارية (صفيف ديناميكي) | عناصر قائمة المشاهدة | قراءة قوائم مشاهدة متعددة بتنسيق أولي. توفر حالة الاستخدام الأساسية خيارا لاستخدام أسماء قوائم مشاهدة متعددة لنفس قائمة المشاهدة. |
وظائف إثراء الهوية
تساعد وظائف إثراء الهوية على إثراء بياناتك بمعلومات المستخدم من جدول UEBA IdentityInfo.
| الدالة | إدخال | المخرجات | الوصف |
|---|---|---|---|
| _ASIM_IdentityInfo | None | جدول IdentityInfo الذي تمت تسويته | إلغاء تكرار جدول IdentityInfo وتطبيعه لتحسين إمكانية استخدامه في الاستعلامات. إرجاع جدول غير مكرر بأسماء حقول تمت تسويتها بواسطة ASIM. |
| _ASIM_Enrich_IdentityInfo | جدول الإدخال، معلمات اسم الحقل | جدول مثري | إثراء مجموعة النتائج بمعلومات المستخدم من جدول IdentityInfo. استخدم المعلمات لتحديد الحقل الذي يجب استخدامه للمطابقة: AadIdFieldأو TenantIdFieldSidFieldUpnField.EmailField |
الخطوات التالية
تتناول هذه المقالة وظائف المساعدة لنموذج معلومات الأمان المتقدم (ASIM).
لمزيد من المعلومات، راجع:
- شاهد ندوة الإنترنت المتعمقة حول محللات تسوية Microsoft Azure Sentinel والمحتوى الذي تمت تسويته أو راجع الشرائح
- نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
- مخططات نموذج معلومات الأمان المتقدم (ASIM)
- محللات نموذج معلومات الأمان المتقدم (ASIM)
- استخدام نموذج معلومات الأمان المتقدم (ASIM)
- تعديل محتوى Microsoft Sentinel لاستخدام أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)