وظائف مساعد نموذج معلومات الأمان المتقدم (ASIM) (الإصدار الأولي العام)

مقالة
06/01/2023

تعمل وظائف مساعد نموذج معلومات الأمان المتقدم (ASIM) على توسيع لغة KQL، مما يوفر وظائف تساعد في التفاعل مع البيانات الخاضعة للتسوية وفي كتابة أدوات التحليل.

وظائف البحث عن الإثراء

توفر وظائف البحث عن الإثراء طريقة سهلة للبحث عن القيم المعروفة، استنادا إلى تمثيلها الرقمي. هذه الدالات مفيدة لأن الأحداث غالبا ما تستخدم التعليمات البرمجية الرقمية للنموذج القصير، بينما يفضل المستخدمون النموذج النصي. تحتوي معظم الدالات على شكلين:

إصدار البحث هو دالة عددية تقبل كمدخلات التعليمات البرمجية الرقمية وتعيد النموذج النصي. استخدم القصاصة البرمجية KQL التالية مع إصدار البحث :

| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)

إصدار الحل هو دالة جدولية:

يستخدم عامل تشغيل البنية الأساسية لبرنامج ربط العمليات التجارية KQL.
يقبل كإدخل اسم الحقل الذي يحمل القيمة للبحث عنها.
يعين حقول ASIM عادة مع كل من قيمة الإدخال وقيمة البحث الناتجة.

استخدم القصاصة البرمجية KQL التالية مع إصدار الحل :

| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)

الذي سيقوم تلقائيا بملء حقل NetworkProtocol بنتيجة البحث.

يفضل استخدام إصدار الحل في محللات ASIM، بينما يكون إصدار البحث مفيدا في استعلامات الأغراض العامة. عندما يجب أن ترجع دالة بحث الإثراء أكثر من قيمة واحدة، فإنها ستستخدم دائما تنسيق الحل .

دوال نوع البحث

الوظيفة	الادخال*	المخرجات	الوصف
_ASIM_LookupDnsQueryType	رمز نوع استعلام DNS الرقمي	اسم نوع الاستعلام	ترجمة نوع سجل موارد (RR) رقمي لنظام أسماء المجالات إلى اسمه الذي يحدده IANA
_ASIM_LookupDnsResponseCode	رمز استجابة DNS الرقمي	اسم رمز الاستجابة	ترجمة تعليمة برمجية رقمية للاستجابة (RCODE) لنظام أسماء المجالات إلى اسمه الذي يحدده IANA
_ASIM_LookupICMPType	نوع ICMP الرقمي	اسم نوع ICMP	ترجمة نوع ICMP رقمي إلى اسمه، كما هو محدد بواسطة IANA
_ASIM_LookupNetworkProtocol	رقم بروتوكول IP	اسم بروتوكول IP	ترجمة رمز بروتوكول IP رقمي إلى اسمه، كما هو محدد بواسطة IANA

حل دوال النوع

تقوم دالات تنسيق الحل بنفس الإجراء مثل نظير البحث الخاص بها، ولكنها تقبل اسم حقل، يتم توفيره كثابت سلسلة، كإدخال وإعداد حقول معرفة مسبقا كإخراج. يتم أيضا تعيين قيمة الإدخال إلى حقل محدد مسبقا.

الوظيفة	الحقول الموسعة
_ASIM_ResolveDnsQueryType	- `DnsQueryType` لقيمة الإدخال - `DnsQueryTypeName` لقيمة الإخراج
_ASIM_ResolveDnsResponseCode	- `DnsResponseCode` لقيمة الإدخال - `DnsResponseCodeName` لقيمة الإخراج
_ASIM_ResolveICMPType	- `NetworkIcmpCode` لقيمة الإدخال - `NetworkIcmpType` لقيمة البحث
_ASIM_ResolveNetworkProtocol	- `NetworkProtocolNumber` لقيمة الإدخال - `NetworkProtocol` لقيمة البحث

دالات مساعد المحلل

تؤدي الوظائف التالية المهام الشائعة في المحللات ومفيدة لتسريع تطوير المحلل.

وظائف دقة الجهاز

تقوم وظائف تحليل الجهاز بتحليل اسم مضيف وتحديد ما إذا كان يحتوي على معلومات المجال ونوع تدوين المجال. ثم تقوم الدالات بملء حقول ASIM ذات الصلة التي تمثل جهازا. جميع الدالات هي دالات نوع الحل وقبول اسم الحقل الذي يحتوي على اسم المضيف، ممثل كسلسلة، كإدخل.

الوظيفة	الحقول الموسعة	الوصف
_ASIM_ResolveFQDN	- `ExtractedHostname` - `Domain` - `DomainType` - `FQDN`	يحلل القيمة في الحقل المحدد، ويعيّن حقول الإخراج وفقاً لها. لمزيد من المعلومات، راجع المثال المذكور في المقالة حول تطوير أدوات التحليل.
_ASIM_ResolveSrcFQDN	- `SrcHostname` - `SrcDomain` - `SrcDomainType` - `SrcFQDN`	مشابهة ل `_ASIM_ResolveFQDN`، ولكنها تعين `Src` الحقول
_ASIM_ResolveDstFQDN	- `DstHostname` - `DstDomain` - `DstDomainType` - `SrcFQDN`	مشابهة ل `_ASIM_ResolveFQDN`، ولكنها تعين `Dst` الحقول
_ASIM_ResolveDvcFQDN	- `DvcHostname` - `DvcDomain` - `DvcDomainType` - `DvcFQDN`	مشابهة ل `_ASIM_ResolveFQDN`، ولكنها تعين `Dvc` الحقول

وظائف تعريف المصدر

تسترد الدالة _ASIM_GetSourceBySourceType قائمة المصادر المقترنة بنوع مصدر تم توفيره كإدخل من SourceBySourceType قائمة المراقبة. الدالة مخصصة للاستخدام من قبل كتاب المحللات. لمزيد من المعلومات، راجع التصفية حسب نوع المصدر باستخدام قائمة المشاهدة.

الخطوات التالية

تتناول هذه المقالة وظائف المساعدة لنموذج معلومات الأمان المتقدم (ASIM).

لمزيد من المعلومات، انظر:

مشاركة عبر