Erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) (Öffentliche Vorschau)
Die Advanced Security Information Model-(ASIM-)Hilfsfunktionen erweitern die KQL Sprache, indem sie Funktionen bereitstellen, die Sie bei der Interaktion mit normalisierten Daten und beim Schreiben von Parsern unterstützen.
Lookupfunktionen für Anreicherungen
Lookupfunktionen für Anreicherungen ermöglichen eine einfache Suche bekannter Werte basierend auf ihrer numerischen Darstellung. Solche Funktionen sind nützlich, da Ereignisse häufig den kürzeren numerischen Code verwenden, während Benutzer die Textform bevorzugen. Die meisten Funktionen haben zwei Formen:
Die Lookup-Version ist eine Skalarfunktion, die den numerischen Code als Eingabe akzeptiert und die Textform zurückgibt. Verwenden Sie den folgenden KQL-Codeschnipsel mit der Lookup-Version:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
Die Resolve-Version ist eine tabellarische Funktion mit folgenden Eigenschaften:
- Sie wird als KQL-Pipelineoperator verwendet.
- Sie akzeptiert den Namen des Felds, das den gesuchten Wert enthält, als Eingabe.
- Sie legt die ASIM-Felder fest, die in der Regel sowohl den Eingabewert als auch den resultierenden Lookupwert enthalten.
Verwenden Sie den folgenden KQL-Codeschnipsel mit der Resolve-Version:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Dadurch wird das NetworkProtocol-Feld automatisch mit dem Lookupergebnis gefüllt.
Die Resolve-Version wird vorzugsweise in ASIM-Parsern verwendet, während die Lookup-Version in universellen Abfragen nützlich ist. Wenn eine Lookupfunktion für Anreicherungen mehr als einen Wert zurückgeben muss, wird immer das Resolve-Format verwendet.
Lookup-Funktionen
| Funktion | Eingabe* | Output | BESCHREIBUNG |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerischer DNS-Abfragetypcode | Name des Abfragetyps | Übersetzen einens numerischen DNS-Ressourcendatensatztyps (RR) in seinen Namen, wie durch IANA definiert |
| _ASIM_LookupDnsResponseCode | Numerischer DNS-Antwortcode | Name des Antwortcodes | Übersetzen eines numerischen DNS-Antwortcodes (RCODE) in seinen Namen, wie durch IANA definiert |
| _ASIM_LookupICMPType | Numerischer ICMP-Typ | Name des ICMP-Typs | Übersetzung eines numerischen ICMP-Typs in den entsprechenden Namen gemäß IANA-Definition |
| _ASIM_LookupNetworkProtocol | IP-Protokollnummer | IP-Protokollname | Übersetzung eines numerischen IP-Protokollcodes in den entsprechenden Namen gemäß IANA-Definition |
Resolve-Funktionen
Die Funktionen im Resolve-Format führen dieselbe Aktion wie die entsprechende Lookup-Funktion aus. Sie akzeptieren jedoch einen Feldnamen, der als Zeichenfolgenkonstante bereitgestellt wird, als Eingabe und richten vordefinierte Felder als Ausgabe ein. Der Eingabewert wird ebenfalls einem vordefinierten Feld zugewiesen.
| Funktion | Erweiterte Felder |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType für den Eingabewert- DnsQueryTypeName für den Ausgabewert |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode für den Eingabewert- DnsResponseCodeName für den Ausgabewert |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode für den Eingabewert- NetworkIcmpType für den Lookup-Wert |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber für den Eingabewert- NetworkProtocol für den Lookup-Wert |
Parserhilfsfunktionen
Die folgenden Funktionen führen Aufgaben aus, die in Parsern üblich und nützlich sind, um die Entwicklung von Parsern zu beschleunigen.
Geräteauflösungsfunktionen
Die Geräteauflösungsfunktionen analysieren einen Hostnamen und ermitteln das Vorhandensein von Domäneninformationen sowie den Typ der Domänennotation. Die Funktionen füllen dann die relevanten ASIM-Felder, die ein Gerät darstellen. Alle Funktionen sind Resolve-Funktionen und akzeptieren den Namen des Felds mit dem Hostnamen, dargestellt als Zeichenfolge, als Eingabe.
| Funktion | Erweiterte Felder | BESCHREIBUNG |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analysiert den Wert im angegebenen Feld und legt die Ausgabefelder entsprechend fest. Weitere Informationen finden Sie unter Beispiel im Artikel zum Entwickeln von Parsern. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Ähnlich wie _ASIM_ResolveFQDN, legt aber die Src-Felder fest |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Ähnlich wie _ASIM_ResolveFQDN, legt aber die Dst-Felder fest |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Ähnlich wie _ASIM_ResolveFQDN, legt aber die Dvc-Felder fest |
Quellidentifikationsfunktionen
Die _ASIM_GetSourceBySourceType-Funktion ruft die Liste der Quellen für einen Quelltyp, der als Eingabe angegeben wird, aus der SourceBySourceType-Watchlist ab. Diese Funktion ist für die Verwendung durch Ersteller von Parsern vorgesehen. Weitere Informationen finden Sie unter Filtern nach Quelltyp mithilfe einer Watchlist.
Nächste Schritte
In diesem Artikel werden die Hilfefunktionen des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) erläutert.
Weitere Informationen finden Sie unter
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Verwenden des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)
- Ändern von Microsoft Sentinel-Inhalten zur Verwendung der ASIM-Parser (erweitertes Sicherheitsinformationsmodells)