Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pomocné funkce Advanced Security Information Model (ASIM) rozšiřují jazyk KQL poskytující funkce, které pomáhají pracovat s normalizovanými daty a při psaní analyzátorů.
Vyhledávací funkce pro rozšiřování
Vyhledávací funkce pro rozšiřování poskytují snadnou metodu vyhledávání známých hodnot na základě jejich číselné reprezentace. Takové funkce jsou užitečné jako události často používají krátký číselný kód formuláře, zatímco uživatelé dávají přednost textovému formuláři. Většina funkcí má dvě formy:
Vyhledávací verze je skalární funkce, která přijímá jako vstup číselného kódu a vrací textovou formu.
Ve verzi vyhledávání použijte následující fragment kódu KQL:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Vyřešená verze je tabulková funkce, která:
- Slouží jako operátor kanálu KQL.
- Přijímá jako vstup název pole, které obsahuje hodnotu, kterou chcete vyhledat.
- Nastaví pole ASIM, která obvykle obsahují vstupní i výslednou vyhledávací hodnotu.
Použijte následující fragment kódu KQL s verzí překladu:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funkce automaticky naplní pole ASIM výsledkem vyhledávání.
Verze překladu je vhodnější pro použití v analyzátorech ASIM, zatímco vyhledávací verze je užitečná v dotazech pro obecné účely. Pokud funkce vyhledávání rozšiřování musí vrátit více než jednu hodnotu, bude vždy používat formát překladu.
Další informace o skalárních a tabulkových funkcích (reprezentované vyhledáváním a překladem verzí najdete tady), viz Uživatelsky definované funkce v dokumentaci Kusto.
Funkce vyhledávacího typu
| Function | Vstup* | Výstup | Popis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Číselný kód typu dotazu DNS | Název typu dotazu | Přeložit číselný typ záznamu prostředku DNS (RR) na jeho název, jak je definováno IANA |
| _ASIM_LookupDnsResponseCode | Číselný kód odpovědi DNS | Název kódu odpovědi | Přeloží číselný kód odpovědi DNS (RCODE) na jeho název, jak definuje IANA. |
| _ASIM_LookupICMPType | Číselný typ ICMP | Název typu ICMP | Přeloží číselný typ ICMP na název podle definice IANA. |
| _ASIM_LookupNetworkProtocol | číslo protokolu IP | Název protokolu IP | Přeloží kód číselného protokolu IP na jeho název, jak definuje IANA. |
| _ASIM_LookupHTTPStatusCode | Stavový kód HTTP | Název stavových kódů HTTP | Přeloží číselný stavový kód HTTP na jeho název, jak je definováno IANA. Podporuje také rozšířené stavové kódy používané službou IIS a dalšími webovými servery. |
| _ASIM_LookupAADcodes | Kód chyby STS ID Microsoft Entra | Kategorie chyby | Přeloží kód chyby stS ID Microsoft Entra do jeho kategorie chyb, například Logon violates policy nebo No such user or password. |
Řešení funkcí typu
Funkce překladu formátu provádějí stejnou akci jako jejich vyhledávací protějšky, ale přijímají název pole, který je zadaný jako řetězcová konstanta, jako vstup a nastaví předdefinovaná pole jako výstup. Vstupní hodnota je také přiřazena k předdefinovanému poli.
| Function | Rozšířená pole |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType pro vstupní hodnotu- DnsQueryTypeName pro výstupní hodnotu |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode pro vstupní hodnotu- DnsResponseCodeName pro výstupní hodnotu |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode pro vstupní hodnotu- NetworkIcmpType pro vyhledávací hodnotu |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber pro vstupní hodnotu- NetworkProtocol pro vyhledávací hodnotu |
Pomocné funkce analyzátoru
Následující funkce provádějí úlohy, které jsou běžné v analyzátorech a jsou užitečné k urychlení vývoje analyzátoru.
Funkce překladu zařízení
Funkce překladu zařízení analyzují název hostitele a určují, jestli obsahuje informace o doméně a typ zápisu domény. Funkce pak naplní příslušná pole ASIM představující zařízení. Všechny funkce překládají funkce typu a přijímají název pole obsahujícího název hostitele, který je reprezentovaný jako řetězec jako vstup.
| Function | Rozšířená pole | Popis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyzuje hodnotu v zadaném poli a odpovídajícím způsobem nastaví výstupní pole. Další informace najdete v příkladu v článku o vývoji analyzátorů. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobá se _ASIM_ResolveFQDN, ale nastaví pole.Dvc |
Funkce typu uživatele
Funkce typu uživatele pomáhají určit typ uživatele na základě vzorů uživatelského jména nebo identifikátorů zabezpečení (SID).
| Function | Vstup | Výstup | Popis |
|---|---|---|---|
| _ASIM_GetUsernameType | Řetězec uživatelského jména | Typ uživatelského jména | Vrátí typ uživatelského jména na základě formátu uživatelského jména. Mezi možné hodnoty patří UPN (pro uživatelská jména podobná e-mailu), Windows (pro doména\uživatelský formát), DN (pro rozlišující jména) Simplenebo prázdné, pokud je uživatelské jméno prázdné. |
| _ASIM_GetWindowsUserType | Řetězec uživatelského jména, řetězec SID | Typ uživatele | Vrátí typ uživatele pro systémy Windows na základě uživatelského jména a identifikátoru zabezpečení (SID). Možné hodnoty zahrnují Admin, , Guest, Service, SystemMachine, Anonymous, , Regular, nebo Other. |
| _ASIM_GetUserType | Řetězec uživatelského jména, řetězec SID | Typ uživatele | Deprecated. Místo toho použijte _ASIM_GetWindowsUserType. Nastaví typ UserType v systémech Windows na základě uživatelského jména a identifikátoru SID. |
Identifikační funkce zdroje
Funkce _ASIM_GetSourceBySourceType načte seznam zdrojů přidružených ke zdroji zadanému jako vstup ze SourceBySourceType seznamu ke zhlédnutí. Funkce je určená k použití analyzátory zapisovačů. Další informace najdete v tématu Filtrování podle typu zdroje pomocí seznamu ke zhlédnutí.
Funkce _ASIM_GetDisabledParsers přečte ASimDisabledParsers seznam ke zhlédnutí a určí na základě toho, zda je analyzátor zadaný jako parametr zakázán. Tato funkce se interně používá analyzátory ASIM k podpoře zakázání konkrétních analyzátorů.
Funkce seznamu ke zhlédnutí
Funkce seznamu ke zhlédnutí poskytují optimalizované metody pro čtení seznamů ke zhlédnutí v analyzátorech ASIM.
| Function | Vstup | Výstup | Popis |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias seznamu ke zhlédnutí (řetězec), volitelné klíče (dynamické pole) | Položky seznamu ke zhlédnutí | Čte jeden seznam ke zhlédnutí v nezpracované podobě. Výkonnější než obecná _GetWatchlist funkce. |
| _ASIM_GetWatchlistsRaw | Aliasy seznamu ke zhlédnutí (dynamické pole), volitelné klíče (dynamické pole) | Položky seznamu ke zhlédnutí | Čte více seznamů ke zhlédnutí v nezpracovaných formátech. Primární případ použití poskytuje možnost použití více názvů seznamu ke zhlédnutí pro stejný seznam ke zhlédnutí. |
Funkce rozšiřování identit
Funkce rozšiřování identit pomáhají obohatit vaše data informacemi o uživatelích z tabulky UEBA IdentityInfo.
| Function | Vstup | Výstup | Popis |
|---|---|---|---|
| _ASIM_IdentityInfo | None | Normalizovaná tabulka IdentityInfo | Odstranění duplicit a normalizuje tabulku IdentityInfo , aby se zlepšila použitelnost v dotazech. Vrátí tabulku s odstraněnými duplicitními daty s názvy polí normalizovaných ASIM. |
| _ASIM_Enrich_IdentityInfo | Vstupní tabulka, parametry názvu pole | Rozšířená tabulka | Rozšiřuje sadu výsledků o informace o uživateli z tabulky IdentityInfo. Pomocí parametrů určete, které pole se má použít pro porovnávání: AadIdField, TenantIdFieldSidField, , UpnFieldnebo EmailField. |
Další kroky
Tento článek popisuje funkce nápovědy k modelu ASIM (Advanced Security Information Model).
Další informace naleznete v tématu:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
- Přehled rozšířeného modelu informací o zabezpečení (ASIM)
- Schémata advanced Security Information Model (ASIM)
- Analyzátory advanced security information model (ASIM)
- Použití modelu ADVANCED Security Information Model (ASIM)
- Úprava obsahu Microsoft Sentinelu tak, aby používal analyzátory ADVANCED Security Information Model (ASIM)