Pomocné funkce ASIM (Advanced Security Information Model) (Public Preview)
Pomocné funkce MODELU ASIM (Advanced Security Information Model) rozšiřují jazyk KQL a poskytují funkce, které pomáhají při interakci s normalizovanými daty a při psaní analyzátorů.
Vyhledávací funkce rozšiřování
Funkce vyhledávání rozšiřování poskytují snadnou metodu vyhledávání známých hodnot na základě jejich číselného vyjádření. Tyto funkce jsou užitečné, protože události často používají číselný kód krátkého tvaru, zatímco uživatelé dávají přednost textové formě. Většina funkcí má dvě podoby:
Verze vyhledávání je skalární funkce, která přijímá jako vstup číselný kód a vrací textovou formu. S verzí vyhledávání použijte následující fragment kódu KQL:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
Verze resolve je tabulková funkce, která:
- Používá se operátor kanálu KQL.
- Přijímá jako vstup název pole, ve které je hodnota, která se má vyhledat.
- Nastaví pole ASIM, která obvykle obsahují vstupní i výslednou vyhledávací hodnotu.
S verzí překladu použijte následující fragment kódu KQL:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Tím se automaticky naplní pole NetworkProtocol výsledkem vyhledávání.
Verze překladu je vhodnější pro použití v analyzátorech ASIM, zatímco vyhledávací verze je užitečná v dotazech pro obecné účely. Pokud vyhledávací funkce rozšiřování musí vracet více než jednu hodnotu, bude vždy používat formát překladu .
Funkce vyhledávacího typu
Funkce | Vstupní* | Výstup | Popis |
---|---|---|---|
_ASIM_LookupDnsQueryType | Číselný kód typu dotazu DNS | Název typu dotazu | Přeložit typ číselného záznamu prostředku DNS (RR) na jeho název podle definice IANA |
_ASIM_LookupDnsResponseCode | Číselný kód odpovědi DNS | Název kódu odpovědi | Překlad číselného kódu odpovědi DNS (RCODE) na jeho název podle definice IANA |
_ASIM_LookupICMPType | Číselný typ ICMP | Název typu ICMP | Překlad číselného typu ICMP na jeho název, jak je definováno IANA |
_ASIM_LookupNetworkProtocol | Číslo protokolu IP | Název protokolu IP | Přeložit číselný kód protokolu IP na jeho název, jak je definováno IANA |
Řešení problémů s funkcemi typu
Funkce překladu formátu provádějí stejnou akci jako jejich vyhledávací protějšek, ale přijímají název pole zadaný jako řetězcová konstanta jako vstup a nastavte předdefinovaná pole jako výstup. Vstupní hodnota je také přiřazena k předdefinovanému poli.
Funkce | Rozšířená pole |
---|---|
_ASIM_ResolveDnsQueryType | - DnsQueryType pro vstupní hodnotu- DnsQueryTypeName pro výstupní hodnotu |
_ASIM_ResolveDnsResponseCode | - DnsResponseCode pro vstupní hodnotu- DnsResponseCodeName pro výstupní hodnotu |
_ASIM_ResolveICMPType | - NetworkIcmpCode pro vstupní hodnotu- NetworkIcmpType pro hledanou hodnotu |
_ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber pro vstupní hodnotu- NetworkProtocol pro hledanou hodnotu |
Pomocné funkce analyzátoru
Následující funkce provádějí úlohy, které jsou běžné v analyzátorech a užitečné pro urychlení vývoje analyzátoru.
Funkce rozlišení zařízení
Funkce překladu zařízení analyzují název hostitele a určují, jestli obsahuje informace o doméně a typ zápisu domény. Funkce pak naplní příslušná pole ASIM představující zařízení. Všechny funkce jsou funkce typu překladu a přijímají jako vstup název pole obsahujícího název hostitele reprezentovaný jako řetězec.
Funkce | Rozšířená pole | Popis |
---|---|---|
_ASIM_ResolveFQDN | - ExtractedHostname - Domain - DomainType - FQDN |
Analyzuje hodnotu v zadaném poli a odpovídajícím způsobem nastaví výstupní pole. Další informace najdete v příkladu v článku o vývoji analyzátorů. |
_ASIM_ResolveSrcFQDN | - SrcHostname - SrcDomain - SrcDomainType - SrcFQDN |
Podobně jako , _ASIM_ResolveFQDN ale nastaví pole.Src |
_ASIM_ResolveDstFQDN | - DstHostname - DstDomain - DstDomainType - SrcFQDN |
Podobně jako , _ASIM_ResolveFQDN ale nastaví pole.Dst |
_ASIM_ResolveDvcFQDN | - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN |
Podobně jako , _ASIM_ResolveFQDN ale nastaví pole.Dvc |
Funkce identifikace zdroje
Funkce _ASIM_GetSourceBySourceType načte seznam zdrojů přidružených k typu zdroje poskytnutému jako vstup ze SourceBySourceType
zhlédnutí. Funkce je určena pro použití analyzátory zapisovačů. Další informace najdete v tématu Filtrování podle typu zdroje pomocí seznamu ke zhlédnutí.
Další kroky
Tento článek popisuje funkce nápovědy k modelu ASIM (Advanced Security Information Model).
Další informace naleznete v tématu:
- Podívejte se na podrobný webinář o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky.
- Přehled advanced Security Information Model (ASIM)
- Schémata ASIM (Advanced Security Information Model)
- Analyzátory ASIM (Advanced Security Information Model)
- Použití modelu ASIM (Advanced Security Information Model)
- Úprava obsahu služby Microsoft Sentinel tak, aby používal analyzátory ASIM (Advanced Security Information Model)