הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
פונקציות עוזרות של מודל מידע אבטחה מתקדם (ASIM) מרחיבות את שפת ה- KQL ומספקת פונקציונליות שמסייעת לקיים אינטראקציה עם נתונים מנומולים ובמודדי כתיבה.
פונקציות בדיקת מידע של העשרת
פונקציות בדיקת מידע של העשרת מספקות שיטה קלה לבדיקת ערכים ידועים, בהתבסס על הייצוג המספרי שלהן. פונקציות כאלה שימושיות, כיוון שאירועים משתמשים לעתים קרובות בקוד המספרי הקצר, בעוד שהמשתמשים מעדיפים את הטופס הטקסטואלי. לרוב הפונקציות יש שתי צורות:
גירסת בדיקת המידע היא פונקציה שיטתית המקבלת כקלט את הקוד המספרי ומחזירה את הטופס המללתי.
השתמש במקטעי KQL הבאים עם גירסת בדיקת המידע:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)גירסת פתרון היא פונקציה טבלאית ש:
- משמש בתור אופרטור קו צינור של KQL.
- מקבל כקלט את שם השדה המחזיק את הערך שיש לחפש.
- הגדרת שדות ASIM המחזיקים בדרך כלל הן את ערך הקלט והן את ערך בדיקת המידע המתבצע.
השתמש במקטעי KQL הבאים עם גירסת פתרון :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)הפונקציה מאכלסת באופן אוטומטי את שדה ASIM בתוצאה של בדיקת המידע.
גירסת פתרון עדיף לשימוש במנתחי ASIM, בעוד שגירסה בדיקת המידע שימושית בשאילתות למטרות כלליות. כאשר פונקציית בדיקת מידע של העשרתה תחזיר יותר מערך אחד, היא תמיד תשתמש בתבנית פתרון .
לקבלת מידע נוסף אודות פונקציות סקלריות וטבלאות (המיוצגים על-ידי בדיקת המידע ולפתור גירסאות כאן, בהתאמה), ראה פונקציות המוגדרות על-ידי המשתמש בתיעוד Kusto.
פונקציות סוג בדיקת מידע
| פונקציה | קלט* | פלט | תיאור |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | קוד סוג שאילתה של DNS מספרי | שם סוג שאילתה | תרגום סוג של רשומת משאב DNS (RR) מספרית לשם הרשומה, כפי שהוגדר על-ידי IANA |
| _ASIM_LookupDnsResponseCode | קוד תגובה של DNS מספרי | שם קוד תגובה | תרגום קוד תגובת DNS מספרי (RCODE) ל שמו, כפי שהוגדר על-ידי IANA |
| _ASIM_LookupICMPType | סוג ICMP מספרי | שם סוג ICMP | תרגום סוג ICMP מספרי לשם שלו, כפי שהוגדר על-ידי IANA |
| _ASIM_LookupNetworkProtocol | מספר פרוטוקול IP | שם פרוטוקול IP | תרגום קוד פרוטוקול IP מספרי לשם שלו, כפי שהוגדר על-ידי IANA |
| _ASIM_LookupHTTPStatusCode | קוד מצב HTTP | שם קוד מצב HTTP | תרגם קוד מצב HTTP מספרי לשם שלו, כפי שהוגדר על-ידי IANA. תומך גם בקודי מצב מורחבים המשמשים את IIS ושרתי אינטרנט אחרים. |
| _ASIM_LookupAADcodes | Microsoft Entra ID שגיאה של STS | קטגוריית שגיאה | תרגם Microsoft Entra ID שגיאה מסוג STS קטגוריה של שגיאה, כגון Logon violates policy או No such user or password. |
פתרון פונקציות סוג
פונקציות תבנית פתרון מבצעות את אותה פעולה כמו המקבילה של בדיקת המידע שלהן, אך מקבלות שם שדה, המסופק כקבוע מחרוזת, כקלט ומגדירות שדות מוגדרים מראש כפלט. ערך הקלט מוקצה גם לשדה מוגדר מראש.
| פונקציה | שדות מורחבים |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType עבור ערך הקלט- DnsQueryTypeName עבור ערך הפלט |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode עבור ערך הקלט- DnsResponseCodeName עבור ערך הפלט |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode עבור ערך הקלט- NetworkIcmpType עבור ערך בדיקת המידע |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber עבור ערך הקלט- NetworkProtocol עבור ערך בדיקת המידע |
פונקציות עוזר מנתח
הפונקציות הבאות מבצעות משימות נפוצות במנתחים ושימושיות לזרז את פיתוח המנתח.
פונקציות רזולוציית מכשיר
פונקציות רזולוציית המכשיר מנתחות שם מארח וקובעות אם יש לו פרטי תחום וסוג של הוספת תחום. לאחר מכן, הפונקציות מאכלסות את שדות ה- ASIM הרלוונטיים המייצגים מכשיר. כל הפונקציות הן פונקציות מסוג פתרון וקבל את שם השדה המכיל את שם המחשב המארח, המיוצג כמחרוזת, כקלט.
| פונקציה | שדות מורחבים | תיאור |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
ניתוח הערך בשדה שצוין והגדרת שדות הפלט בהתאם. לקבלת מידע נוסף, ראה דוגמה במאמר אודות פיתוח מנתחים. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
דומה ל_ASIM_ResolveFQDN- , אך הגדרת השדות Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
דומה ל_ASIM_ResolveFQDN- , אך הגדרת השדות Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
דומה ל_ASIM_ResolveFQDN- , אך הגדרת השדות Dvc |
פונקציות סוג משתמש
הפונקציות של סוג המשתמש עוזרות לקבוע את סוג המשתמש בהתבסס על תבניות שם משתמש או מזהי אבטחה (מזהי אבטחה).
| פונקציה | קלט | פלט | תיאור |
|---|---|---|---|
| _ASIM_GetUsernameType | מחרוזת שם משתמש | סוג שם משתמש | מחזירה את סוג שם המשתמש בהתבסס על התבנית של שם המשתמש. ערכים אפשריים UPN כוללים (עבור שמות משתמש כגון דואר אלקטרוני), Windows (עבור domain\user format), DN (עבור שמות ייחודיים), Simpleאו ריקים אם שם המשתמש ריק. |
| _ASIM_GetWindowsUserType | מחרוזת שם משתמש, מחרוזת SID | סוג משתמש | הפונקציה מחזירה את סוג המשתמש עבור מערכות Windows בהתבסס על שם המשתמש ומזהה האבטחה (SID). ערכים אפשריים כוללים Adminאת , Guest, Service, SystemMachine, Anonymous, Regularאו Other. |
| _ASIM_GetUserType | מחרוזת שם משתמש, מחרוזת SID | סוג משתמש | הוצא משימוש. השתמש במקום _ASIM_GetWindowsUserType זאת. הגדרת UserType במערכות Windows בהתבסס על שם המשתמש וה- SID. |
פונקציות זיהוי מקור
הפונקציה _ASIM_GetSourceBySourceType מאחזרת את רשימת המקורות המשויכים לסוג מקור שסופק כקלט מרשימת SourceBySourceType המעקב. הפונקציה מיועדת לשימוש של כותבי מנתחים. לקבלת מידע נוסף, ראה סינון לפי סוג מקור באמצעות רשימת מעקב.
הפונקציה _ASIM_GetDisabledParsers קורא את ASimDisabledParsers רשימת המעקב וקובעת בהתבסס על כך אם המנתח שסופק כפרמטר אינו זמין. פונקציה זו משמשת באופן פנימי על-ידי מנתחי ASIM כדי לתמוך בה השבתת מנתחים ספציפיים.
פונקציות של רשימת צפייה
פונקציות רשימת המעקב מספקות שיטות ממוטבת לקריאת רשימות מעקב במנתחי ASIM.
| פונקציה | קלט | פלט | תיאור |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | כינוי רשימת צפייה (מחרוזת), מקשים אופציונליים (מערך דינאמי) | פריטי רשימת צפייה | קורא רשימת צפייה יחידה בתבנית גולמית. ביצועי יותר מהפונקציה הכללית _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | כינויי רשימת צפייה (מערך דינאמי), מקשים אופציונליים (מערך דינאמי) | פריטי רשימת צפייה | קורא רשימות צפייה מרובות בתבנית גולמית. מקרה השימוש הראשי הוא מתן אפשרות לשימוש בשמות מרובים של רשימת מעקב עבור אותה רשימת מעקב. |
פונקציות העשרת זהויות
פונקציות העשרת זהויות עוזרות להעשיר את הנתונים שלך בעזרת פרטי משתמש מהטבלה UEBA IdentityInfo.
| פונקציה | קלט | פלט | תיאור |
|---|---|---|---|
| _ASIM_IdentityInfo | ללא | טבלת IdentityInfo מנורמה | הפונקציה משכפלת את הטבלה IdentityInfo ונרמלת אותה כדי לשפר את שימושיותה בשאילתות. החזרת טבלה עם כפילות בשמות שדות המנורמה על-ידי ASIM. |
| _ASIM_Enrich_IdentityInfo | טבלת קלט, פרמטרי שם שדה | טבלה מועשרת | העשרת ערכת התוצאות שלך עם פרטי משתמש מהטבלה IdentityInfo. השתמש בפרמטרים כדי לציין באיזה שדה יש להשתמש להתאמה: AadIdField, TenantIdField, SidField, UpnField, או EmailField. |
השלבים הבאים
מאמר זה דן בפונקציות העזרה Advanced Security Information Model (ASIM).
לקבלת מידע נוסף, ראה:
- צפה בסמינר מקוון בנושא צלילה עמוקה Microsoft Sentinel מנתחי נירמול ותוכן מנומול או סקור את השקופיות
- מבט כולל על מודל מידע אבטחה מתקדם (ASIM)
- סכימות מתקדמות של מודל מידע אבטחה (ASIM)
- מנתחי מודל מידע אבטחה מתקדמים (ASIM)
- שימוש במודל מידע אבטחה מתקדם (ASIM)
- שינוי Microsoft Sentinel כדי להשתמש במנתחי מודל מידע אבטחה מתקדם (ASIM)