Oharra
Orrialde honetara sartzeak baimena behar du. Saioa hasteko edo direktorioak aldatzen saia zaitezke.
Orrialde honetara sartzeak baimena behar du. Direktorioak aldatzen saia zaitezke.
Las funciones de asistente del modelo de información de seguridad avanzada (ASIM) amplían el lenguaje de KQL y proporcionan funcionalidades que ayudan a interactuar con datos normalizados y a escribir analizadores.
Funciones de búsqueda de enriquecimiento
Las funciones de búsqueda de enriquecimiento proporcionan un método sencillo de buscar valores conocidos, en función de su representación numérica. Estas funciones son útiles, ya que los eventos suelen usar el código numérico de formato corto, mientras que los usuarios prefieren el formulario textual. La mayoría de las funciones tienen dos formas:
La versión de búsqueda es una función escalar que acepta como entrada el código numérico y devuelve el formulario textual.
Use el siguiente fragmento de código de KQL con la versión de búsqueda:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)La versión de resolución es una función tabular que:
- Se usa como operador de canalización KQL.
- Acepta como entrada el nombre del campo que contiene el valor que se va a buscar.
- Establece los campos de ASIM que normalmente contienen el valor de entrada y el valor de búsqueda resultante.
Use el siguiente fragmento de código de KQL con la versión de resolución:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)La función rellena automáticamente el campo ASIM con el resultado de la búsqueda.
La versión de resolución es preferible para su uso en analizadores de ASIM, mientras que la versión de búsqueda es útil en consultas de uso general. Cuando una función de búsqueda de enriquecimiento tiene que devolver más de un valor, siempre usará el formato de resolución.
Para obtener más información sobre las funciones escalares y tabulares (representadas por la búsqueda y resolución de versiones aquí, respectivamente), consulte Funciones definidas por el usuario en la documentación de Kusto.
Funciones de tipo de búsqueda
| Función | Entrada* | Output | Descripción |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código de tipo de consulta DNS numérico | Nombre del tipo de consulta | Traducción de un tipo de registro de recursos DNS numérico (RR) a su nombre, tal y como se define en IANA |
| _ASIM_LookupDnsResponseCode | Código de respuesta DNS numérico | Nombre del código de respuesta | Traducción de un código de respuesta DNS numérico (RCODE) a su nombre, según lo definido por IANA |
| _ASIM_LookupICMPType | Tipo ICMP numérico | Nombre del tipo ICMP | Traducción de un tipo ICMP numérico a su nombre, tal y como se define en IANA |
| _ASIM_LookupNetworkProtocol | Números de protocolo IP | Nombre del protocolo IP | Traducción de un código numérico de protocolo IP a su nombre, tal como se define en IANA |
| _ASIM_LookupHTTPStatusCode | Código de estado HTTP | Nombre del código de estado HTTP | Traduzca un código de estado HTTP numérico a su nombre, tal como se define en IANA. También admite códigos de estado extendidos usados por IIS y otros servidores web. |
| _ASIM_LookupAADcodes | Código de error STS de Id. de Microsoft Entra | Categoría del error | Traduzca un código de error STS de id. de Microsoft Entra a su categoría de error, como Logon violates policy o No such user or password. |
Resolución de funciones de tipo
Las funciones de formato de resolución realizan la misma acción que su homólogo de búsqueda, pero aceptan un nombre de campo, proporcionado como una constante de cadena, como entrada y configuración de campos predefinidos como salida. El valor de entrada también se asigna a un campo predefinido.
| Función | Campos extendidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para el valor de entrada- DnsQueryTypeName para el valor de salida |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para el valor de entrada- DnsResponseCodeName para el valor de salida |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para el valor de entrada- NetworkIcmpType para el valor de búsqueda |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para el valor de entrada- NetworkProtocol para el valor de búsqueda |
Funciones auxiliares del analizador
Las siguientes funciones realizan tareas comunes en analizadores y útiles para acelerar el desarrollo del analizador.
Funciones de resolución de dispositivos
Las funciones de resolución de dispositivos analizan un nombre de host y determinan si tiene información de dominio y el tipo de notación de dominio. A continuación, las funciones rellenan los campos ASIM pertinentes que representan un dispositivo. Todas las funciones son funciones de tipo de resolución y aceptan el nombre del campo que contiene el nombre de host, representado como una cadena, como entrada.
| Función | Campos extendidos | Descripción |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analiza el valor del campo especificado y establece los campos de salida en consecuencia. Para obtener más información, vea el ejemplo del artículo sobre el desarrollo de analizadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los campos Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los campos Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los campos Dvc |
Funciones de tipo de usuario
Las funciones de tipo de usuario ayudan a determinar el tipo de usuario en función de patrones de nombre de usuario o identificadores de seguridad (SID).
| Función | Input | Output | Descripción |
|---|---|---|---|
| _ASIM_GetUsernameType | Cadena de nombre de usuario | Tipo de nombre de usuario | Devuelve el tipo de nombre de usuario en función del formato del nombre de usuario. Los valores posibles incluyen UPN (para nombres de usuario similares al correo electrónico), Windows (para el formato dominio\usuario), DN (para nombres distintivos), Simpleo vacío si el nombre de usuario está vacío. |
| _ASIM_GetWindowsUserType | Cadena de nombre de usuario, cadena de SID | Tipo de usuario | Devuelve el tipo de usuario para los sistemas Windows en función del nombre de usuario y el identificador de seguridad (SID). Los valores posibles incluyen Admin, Guest, Service, SystemMachine, , Anonymous, Regularo Other. |
| _ASIM_GetUserType | Cadena de nombre de usuario, cadena de SID | Tipo de usuario | Deprecated. En su lugar, use _ASIM_GetWindowsUserType. Establece userType en sistemas Windows en función del nombre de usuario y el SID. |
Funciones de identificación de origen
La función _ASIM_GetSourceBySourceType recupera la lista de orígenes asociados a un tipo de origen proporcionado como entrada de la lista de reproducción SourceBySourceType. La función está pensada para escritores analizadores. Para obtener más información, consulte Filtrado por tipo de origen mediante una lista de reproducción.
La función _ASIM_GetDisabledParsers lee la ASimDisabledParsers lista de reproducción y determina en función de si el analizador proporcionado como parámetro está deshabilitado. Los analizadores de ASIM usan internamente esta función para admitir la deshabilitación de analizadores específicos.
Funciones de lista de reproducción
Las funciones de lista de reproducción proporcionan métodos optimizados para leer listas de reproducción en analizadores de ASIM.
| Función | Input | Output | Descripción |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias de lista de reproducción (cadena), claves opcionales (matriz dinámica) | Elementos de lista de reproducción | Lee una sola lista de reproducción en formato sin formato. Mayor rendimiento que la función general _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Alias de lista de reproducción (matriz dinámica), claves opcionales (matriz dinámica) | Elementos de lista de reproducción | Lee varias listas de reproducción en formato sin formato. El caso de uso principal proporciona una opción para usar varios nombres de lista de reproducción para la misma lista de reproducción. |
Funciones de enriquecimiento de identidades
Las funciones de enriquecimiento de identidades ayudan a enriquecer los datos con información de usuario de la tabla UEBA IdentityInfo.
| Función | Input | Output | Descripción |
|---|---|---|---|
| _ASIM_IdentityInfo | Ninguno | Tabla IdentityInfo normalizada | Desduplica y normaliza la tabla IdentityInfo para mejorar su facilidad de uso en las consultas. Devuelve una tabla desduplicada con nombres de campo normalizados de ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabla de entrada, parámetros de nombre de campo | Tabla enriquecida | Enriquece el conjunto de resultados con información de usuario de la tabla IdentityInfo. Use los parámetros para especificar qué campo se va a usar para buscar coincidencias: AadIdField, TenantIdField, SidField, UpnFieldo EmailField. |
Pasos siguientes
En este artículo se abordan las funciones de ayuda del modelo de información de seguridad avanzado (ASIM).
Para más información, consulte:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Uso del modelo avanzado de información de seguridad (ASIM)
- Modificación del contenido de Microsoft Sentinel para usar los analizadores del Modelo avanzado de información de seguridad (ASIM)