Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pomocné funkce modelu ASIM (Advanced Security Information Model) rozšiřují jazyk KQL a poskytují funkce, které pomáhají pracovat s normalizovanými daty a při psaní analyzátorů.
Vyhledávací funkce rozšiřování
Vyhledávací funkce rozšiřování poskytují snadnou metodu vyhledávání známých hodnot na základě jejich číselného znázornění. Takové funkce jsou užitečné, protože události často používají číselný kód krátkého tvaru, zatímco uživatelé dávají přednost textovému tvaru. Většina funkcí má dvě formy:
Verze vyhledávání je skalární funkce, která přijímá jako vstup číselný kód a vrací textovou formu.
S verzí vyhledávání použijte následující fragment kódu KQL:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Verze překladu je tabulková funkce, která:
- Používá se jako operátor kanálu KQL.
- Přijímá jako vstup název pole, ve které je hodnota, která se má vyhledat.
- Nastaví pole ASIM, která obvykle obsahují vstupní i výslednou vyhledávací hodnotu.
S verzí překladu použijte následující fragment kódu KQL:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funkce automaticky naplní pole ASIM výsledkem vyhledávání.
Verze překladu je vhodnější pro použití v analyzátorech ASIM, zatímco vyhledávací verze je užitečná v obecných dotazech. Pokud vyhledávací funkce rozšiřování musí vracet více než jednu hodnotu, bude vždy používat formát překladu .
Další informace o skalárních a tabulkových funkcích (reprezentované verzemi vyhledávání a řešení najdete v tomto pořadí) v tématu Uživatelem definované funkce v dokumentaci k Kusto.
Funkce vyhledávacího typu
| Funkce | Vstupní* | Výstup | Popis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Číselný kód typu dotazu DNS | Název typu dotazu | Přeložit typ číselného záznamu o prostředku DNS (RR) na jeho název definovaný aplikací IANA |
| _ASIM_LookupDnsResponseCode | Číselný kód odpovědi DNS | Název kódu odpovědi | Překlad číselného kódu odpovědi DNS (RCODE) na jeho název podle definice IANA |
| _ASIM_LookupICMPType | Číselný typ ICMP | Název typu ICMP | Překlad číselného typu ICMP na jeho název definovaný IANA |
| _ASIM_LookupNetworkProtocol | Číslo protokolu IP | Název protokolu IP | Překlad číselného kódu protokolu IP na jeho název definovaný IANA |
| _ASIM_LookupHTTPStatusCode | Stavový kód HTTP | Název stavových kódů HTTP | Přeložte číselný stavový kód HTTP na jeho název definovaný IANA. Podporuje také rozšířené stavové kódy používané službou IIS a dalšími webovými servery. |
| _ASIM_LookupAADcodes | kód chyby Microsoft Entra ID STS | Kategorie chyb | Přeložte kód chyby služby STS Microsoft Entra ID na jeho kategorii chyb, například Logon violates policy nebo No such user or password. |
Řešení potíží s funkcemi typu
Funkce překladu formátu provádějí stejnou akci jako jejich vyhledávací protějšek, ale přijímají název pole jako řetězcová konstanta jako vstup a nastavují předdefinovaná pole jako výstup. Vstupní hodnota je také přiřazena k předdefinovanému poli.
| Funkce | Rozšířená pole |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType pro vstupní hodnotu- DnsQueryTypeName pro výstupní hodnotu |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode pro vstupní hodnotu- DnsResponseCodeName pro výstupní hodnotu |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode pro vstupní hodnotu- NetworkIcmpType pro hledanou hodnotu |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber pro vstupní hodnotu- NetworkProtocol pro hledanou hodnotu |
Pomocné funkce analyzátoru
Následující funkce provádějí úlohy, které jsou běžné v analyzátorech a které jsou užitečné k urychlení vývoje analyzátoru.
Funkce rozlišení zařízení
Funkce překladu zařízení analyzují název hostitele a určují, jestli obsahuje informace o doméně a typ zápisu domény. Funkce pak naplní příslušná pole ASIM představující zařízení. Všechny funkce jsou funkce typu překladu a přijímají jako vstup název pole obsahujícího název hostitele reprezentovaný jako řetězec.
| Funkce | Rozšířená pole | Popis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyzuje hodnotu v zadaném poli a odpovídajícím způsobem nastaví výstupní pole. Další informace najdete v příkladu v článku o vývoji analyzátorů. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Dvc |
Funkce typu uživatel
Funkce typu uživatele pomáhají určit typ uživatele na základě vzorů uživatelského jména nebo identifikátorů zabezpečení (SID).
| Funkce | Vstupní | Výstup | Popis |
|---|---|---|---|
| _ASIM_GetUsernameType | Řetězec uživatelského jména | Typ uživatelského jména | Vrátí typ uživatelského jména na základě formátu uživatelského jména. Mezi možné hodnoty patří UPN (pro uživatelská jména podobná e-mailu), Windows (pro formát doména\uživatel), DN (pro rozlišující názvy) Simplenebo prázdné, pokud je uživatelské jméno prázdné. |
| _ASIM_GetWindowsUserType | Řetězec uživatelského jména, řetězec SID | Typ uživatele | Vrátí typ uživatele pro systémy Windows na základě uživatelského jména a identifikátoru zabezpečení (SID). Mezi možné hodnoty patří Admin, Guest, Service, Machine, AnonymousSystem, , Regularnebo Other. |
| _ASIM_GetUserType | Řetězec uživatelského jména, řetězec SID | Typ uživatele | Zastaralé. Použijte _ASIM_GetWindowsUserType místo toho. Nastaví UserType v systémech Windows na základě uživatelského jména a SID. |
Funkce identifikace zdroje
Funkce _ASIM_GetSourceBySourceType načte seznam zdrojů přidružených k typu zdroje zadanému jako vstup ze SourceBySourceType zhlédnutí. Funkce je určená pro zapisovače analyzátorů. Další informace najdete v tématu Filtrování podle typu zdroje pomocí seznamu ke zhlédnutí.
Funkce _ASIM_GetDisabledParsers přečte ASimDisabledParsers seznam ke zhlédnutí a na jeho základě určí, jestli je analyzátor zadaný jako parametr zakázaný. Tuto funkci interně používají analyzátory ASIM k podpoře zákazu konkrétních analyzátorů.
Funkce seznamu ke zhlédnutí
Funkce seznamu ke zhlédnutí poskytují optimalizované metody pro čtení seznamů ke zhlédnutí v analyzátorech ASIM.
| Funkce | Vstupní | Výstup | Popis |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias seznamu ke zhlédnutí (řetězec), volitelné klíče (dynamické pole) | Položky seznamu ke zhlédnutí | Přečte jeden seznam ke zhlédnutí v nezpracované podobě. Výkonnější než obecná _GetWatchlist funkce. |
| _ASIM_GetWatchlistsRaw | Aliasy seznamu ke zhlédnutí (dynamické pole), volitelné klíče (dynamické pole) | Položky seznamu ke zhlédnutí | Přečte několik seznamů ke zhlédnutí v nezpracované podobě. Primární případ použití poskytuje možnost použití více názvů ke zhlédnutí pro stejný seznam ke zhlédnutí. |
Funkce pro rozšiřování identity
Funkce pro rozšiřování identity pomáhají obohatit vaše data o informace o uživatelích z tabulky UEBA IdentityInfo.
| Funkce | Vstupní | Výstup | Popis |
|---|---|---|---|
| _ASIM_IdentityInfo | Žádné | Normalizovaná tabulka IdentityInfo | Deduplikuje a normalizuje tabulku IdentityInfo , aby se zlepšila její použitelnost v dotazech. Vrátí tabulku s odstraněnými duplicitními daty s názvy polí normalizovaných asim. |
| _ASIM_Enrich_IdentityInfo | Vstupní tabulka, parametry názvu pole | Rozšířená tabulka | Rozšiřuje sadu výsledků o informace o uživateli z tabulky IdentityInfo. Pomocí parametrů určete, které pole se má použít pro porovnávání: AadIdField, TenantIdField, SidField, UpnFieldnebo EmailField. |
Další kroky
Tento článek popisuje funkce nápovědy modelu ASIM (Advanced Security Information Model).
Další informace najdete tady:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu Microsoft Sentinel nebo si prohlédněte snímky.
- Přehled modelu ASIM (Advanced Security Information Model)
- Schémata modelu ASIM (Advanced Security Information Model)
- Analyzátory ASIM (Advanced Security Information Model)
- Použití modelu ASIM (Advanced Security Information Model)
- Úprava obsahu Microsoft Sentinel tak, aby používal analyzátory ASIM (Advanced Security Information Model)