Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hilfsfunktionen des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) erweitern die KQL-Sprache und bieten Funktionen, die die Interaktion mit normalisierten Daten und das Schreiben von Parsern unterstützen.
Anreicherungssuchfunktionen
Anreicherungssuchfunktionen bieten eine einfache Methode, um bekannte Werte basierend auf ihrer numerischen Darstellung nachzuschlagen. Solche Funktionen sind nützlich, da Ereignisse häufig den numerischen Kurzcode verwenden, während Benutzer die Textform bevorzugen. Die meisten Funktionen haben zwei Formen:
Die Nachschlageversion ist eine Skalarfunktion, die den numerischen Code als Eingabe akzeptiert und die Textform zurückgibt.
Verwenden Sie den folgenden KQL-Codeausschnitt mit der Lookupversion :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Die Auflösungsversion ist eine tabellarische Funktion, die:
- Wird als KQL-Pipelineoperator verwendet.
- Akzeptiert als Eingabe den Namen des Felds, das den nachschlagenden Wert enthält.
- Legt die ASIM-Felder fest, die in der Regel sowohl den Eingabewert als auch den resultierenden Nachschlagewert enthalten.
Verwenden Sie den folgenden KQL-Codeausschnitt mit der Auflösungsversion :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Die Funktion füllt das ASIM-Feld automatisch mit dem Ergebnis der Suche auf.
Die Auflösungsversion ist für die Verwendung in ASIM-Parsern vorzuziehen, während die Nachschlageversion bei allgemeinen Abfragen nützlich ist. Wenn eine Anreicherungssuchfunktion mehr als einen Wert zurückgeben muss, wird immer das Auflösungsformat verwendet.
Weitere Informationen zu skalaren und tabellarischen Funktionen (dargestellt durch die Such- und Auflösungsversionen hier) finden Sie unter Benutzerdefinierte Funktionen in der Kusto-Dokumentation .
Nachschlagetypfunktionen
| Funktion | Eingabe* | Ausgabe | Beschreibung |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerischer DNS-Abfragetypcode | Name des Abfragetyps | Übersetzen eines numerischen DNS-Ressourceneintragstyps (RR) in seinen Namen, wie von IANA definiert |
| _ASIM_LookupDnsResponseCode | Numerischer DNS-Antwortcode | Antwortcodename | Übersetzen eines numerischen DNS-Antwortcodes (RCODE) in seinen Namen, wie von IANA definiert |
| _ASIM_LookupICMPType | Numerischer ICMP-Typ | ICMP-Typname | Übersetzen eines numerischen ICMP-Typs in seinen Namen gemäß IANA-Definition |
| _ASIM_LookupNetworkProtocol | IP-Protokollnummer | IP-Protokollname | Übersetzen eines numerischen IP-Protokollcodes in seinen Namen, wie von IANA definiert |
| _ASIM_LookupHTTPStatusCode | HTTP-Statuscode | HTTP-status-Codename | Übersetzen Sie einen numerischen HTTP-status Code in seinen Namen, wie von IANA definiert. Unterstützt auch erweiterte status Codes, die von IIS und anderen Webservern verwendet werden. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-Fehlercode | Fehlerkategorie | Übersetzen Sie einen Microsoft Entra ID STS-Fehlercode in seine Fehlerkategorie, zLogon violates policy. B. oder No such user or password. |
Auflösen von Typfunktionen
Die Auflösungsformatfunktionen führen die gleiche Aktion wie ihr Nachschlagestück aus, akzeptieren jedoch einen Feldnamen, der als Zeichenfolgenkonstante angegeben wird, als Eingabe und richten vordefinierte Felder als Ausgabe ein. Der Eingabewert wird auch einem vordefinierten Feld zugewiesen.
| Funktion | Erweiterte Felder |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType für den Eingabewert- DnsQueryTypeName für den Ausgabewert |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode für den Eingabewert- DnsResponseCodeName für den Ausgabewert |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode für den Eingabewert- NetworkIcmpType für den Nachschlagewert |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber für den Eingabewert- NetworkProtocol für den Nachschlagewert |
Parserhilfsfunktionen
Die folgenden Funktionen führen Aufgaben aus, die in Parsern üblich sind und nützlich sind, um die Entwicklung von Parsern zu beschleunigen.
Geräteauflösungsfunktionen
Die Geräteauflösungsfunktionen analysieren einen Hostnamen und bestimmen, ob er Domäneninformationen und den Typ der Domänennotation enthält. Die Funktionen füllen dann die relevanten ASIM-Felder auf, die ein Gerät darstellen. Alle Funktionen sind Auflösungstypfunktionen und akzeptieren den Namen des Felds, das den Hostnamen enthält, der als Zeichenfolge dargestellt wird, als Eingabe.
| Funktion | Erweiterte Felder | Beschreibung |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analysiert den Wert im angegebenen Feld und legt die Ausgabefelder entsprechend fest. Weitere Informationen finden Sie im Beispiel im Artikel zur Entwicklung von Parsern. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNÄhnlich wie , legt aber die Src Felder fest. |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNÄhnlich wie , legt aber die Dst Felder fest. |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNÄhnlich wie , legt aber die Dvc Felder fest. |
Benutzertypfunktionen
Die Benutzertypfunktionen helfen dabei, den Benutzertyp basierend auf Benutzernamenmustern oder Sicherheits-IDs (SIDs) zu bestimmen.
| Funktion | Input | Ausgabe | Beschreibung |
|---|---|---|---|
| _ASIM_GetUsernameType | Zeichenfolge für Benutzername | Benutzernametyp | Gibt den Benutzernamentyp basierend auf dem Format des Benutzernamens zurück. Mögliche Werte sind UPN (für E-Mail-ähnliche Benutzernamen), Windows (für Domänen-/Benutzerformat), DN (für Distinguished Names), Simpleoder leer, wenn der Benutzername leer ist. |
| _ASIM_GetWindowsUserType | Benutzernamenzeichenfolge, SID-Zeichenfolge | Benutzertyp | Gibt den Benutzertyp für Windows-Systeme basierend auf dem Benutzernamen und der Sicherheits-ID (SID) zurück. Mögliche Werte sind Admin, Guest, Service, Machine, System, Anonymous, Regularoder Other. |
| _ASIM_GetUserType | Benutzernamenzeichenfolge, SID-Zeichenfolge | Benutzertyp | Veraltet. Verwenden Sie _ASIM_GetWindowsUserType stattdessen . Legt den UserType in Windows-Systemen basierend auf dem Benutzernamen und der SID fest. |
Quellidentifikationsfunktionen
Die _ASIM_GetSourceBySourceType-Funktion ruft die Liste der Quellen ab, die einem Quelltyp zugeordnet sind, der als Eingabe aus der SourceBySourceType Watchlist bereitgestellt wird. Die Funktion ist für die Verwendung durch Parserautoren vorgesehen. Weitere Informationen finden Sie unter Filtern nach Quelltyp mithilfe einer Watchlist.
Die _ASIM_GetDisabledParsers-Funktion liest die ASimDisabledParsers Watchlist und bestimmt basierend darauf, ob der als Parameter bereitgestellte Parser deaktiviert ist. Diese Funktion wird intern von ASIM-Parsern verwendet, um das Deaktivieren bestimmter Parser zu unterstützen.
Watchlistfunktionen
Die Watchlistfunktionen bieten optimierte Methoden zum Lesen von Watchlists in ASIM-Parsern.
| Funktion | Input | Ausgabe | Beschreibung |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Watchlistalias (Zeichenfolge), optionale Schlüssel (dynamisches Array) | Watchlistelemente | Liest eine einzelne Watchlist im Rohformat. Leistungser als die allgemeine _GetWatchlist Funktion. |
| _ASIM_GetWatchlistsRaw | Watchlistaliase (dynamisches Array), optionale Schlüssel (dynamisches Array) | Watchlistelemente | Liest mehrere Watchlists im Rohformat. Der primäre Anwendungsfall ist die Möglichkeit, mehrere Watchlistnamen für dieselbe Watchlist zu verwenden. |
Identitätsanreicherungsfunktionen
Identitätsanreicherungsfunktionen helfen Dabei, Ihre Daten mit Benutzerinformationen aus der UEBA IdentityInfo-Tabelle anzureichern.
| Funktion | Input | Ausgabe | Beschreibung |
|---|---|---|---|
| _ASIM_IdentityInfo | Keine | Normalisierte IdentityInfo-Tabelle | Dedupliziert und normalisiert die IdentityInfo-Tabelle , um die Benutzerfreundlichkeit in Abfragen zu verbessern. Gibt eine deduplizierte Tabelle mit ASIM-normalisierten Feldnamen zurück. |
| _ASIM_Enrich_IdentityInfo | Eingabetabelle, Feldnamenparameter | Angereicherte Tabelle | Reichert Ihr Resultset mit Benutzerinformationen aus der IdentityInfo-Tabelle an. Verwenden Sie die Parameter, um anzugeben, welches Feld für den Abgleich verwendet werden soll: AadIdField, TenantIdField, UpnFieldSidField, oder EmailField. |
Nächste Schritte
In diesem Artikel werden die Hilfefunktionen des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) erläutert.
Weitere Informationen finden Sie unter:
- Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Verwenden des advanced Security Information Model (ASIM)
- Ändern Microsoft Sentinel Inhaltes zur Verwendung der ASIM-Parser (Advanced Security Information Model)