Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Fungsi pembantu Model Informasi Keamanan Tingkat Lanjut (ASIM) memperluas bahasa KQL yang menyediakan fungsionalitas yang membantu berinteraksi dengan data yang dinormalisasi dan parser tertulis.
Fungsi pencarian pengayaan
Fungsi pencarian pengayaan menyediakan metode mudah untuk mencari nilai yang diketahui, berdasarkan representasi numeriknya. Fungsi tersebut berguna karena peristiwa sering menggunakan kode numerik bentuk pendek, sementara pengguna lebih suka bentuk tekstual. Sebagian besar fungsi memiliki dua bentuk:
Versi pencarian adalah fungsi skalar yang menerima sebagai input kode numerik dan mengembalikan formulir tekstual.
Gunakan cuplikan KQL berikut dengan versi pencarian :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Versi penyelesaian adalah fungsi tabular yang:
- Digunakan sebagai operator alur KQL.
- Menerima sebagai input nama bidang yang menyimpan nilai untuk dicari.
- Mengatur bidang ASIM biasanya menyimpan nilai input dan nilai pencarian yang dihasilkan.
Gunakan cuplikan KQL berikut dengan versi penyelesaian :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Fungsi ini secara otomatis mengisi bidang ASIM dengan hasil pencarian.
Versi penyelesaian lebih disukai untuk digunakan di pengurai ASIM, sementara versi pencarian berguna dalam kueri tujuan umum. Ketika fungsi pencarian pengayaan harus mengembalikan lebih dari satu nilai, fungsi tersebut akan selalu menggunakan format penyelesaian .
Untuk informasi selengkapnya tentang fungsi skalar dan tabular (diwakili oleh pencarian dan menyelesaikan versi di sini, masing-masing), lihat Fungsi yang ditentukan pengguna dalam dokumentasi Kusto.
Fungsi jenis pencarian
| Fungsi | Masukan* | Output | Deskripsi |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Kode jenis kueri DNS numerik | Nama jenis kueri | Menerjemahkan jenis rekaman sumber daya (RR) DNS numerik ke namanya, seperti yang ditentukan oleh IANA |
| _ASIM_LookupDnsResponseCode | Kode respons DNS numerik | Nama kode respons | Menerjemahkan kode respons (RCODE) DNS numerik ke namanya, seperti yang ditentukan oleh IANA |
| _ASIM_LookupICMPType | Jenis ICMP numerik | Nama jenis ICMP | Menerjemahkan jenis ICMP numerik ke namanya, seperti yang didefinisikan oleh IANA |
| _ASIM_LookupNetworkProtocol | Nomor protokol IP | Nama protokol IP | Menerjemahkan kode protokol IP numerik ke namanya, seperti yang didefinisikan oleh IANA |
| _ASIM_LookupHTTPStatusCode | Kode Status HTTP | Nama kode status HTTP | Terjemahkan kode status HTTP numerik ke namanya, seperti yang didefinisikan oleh IANA. Juga mendukung kode status yang diperluas yang digunakan oleh IIS dan server web lainnya. |
| _ASIM_LookupAADcodes | Kode kesalahan MICROSOFT Entra ID STS | Kategori kesalahan | Menerjemahkan kode kesalahan MICROSOFT Entra ID STS ke kategori kesalahannya, seperti Logon violates policy atau No such user or password. |
Mengatasi fungsi jenis
Fungsi format penyelesaian melakukan tindakan yang sama dengan rekan pencariannya, tetapi menerima nama bidang, yang disediakan sebagai konstanta string, sebagai input dan menyiapkan bidang yang telah ditentukan sebelumnya sebagai output. Nilai input juga ditetapkan ke bidang yang telah ditentukan sebelumnya.
| Fungsi | Bidang yang diperluas |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType untuk nilai input- DnsQueryTypeName untuk nilai output |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode untuk nilai input- DnsResponseCodeName untuk nilai output |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode untuk nilai input- NetworkIcmpType untuk nilai pencarian |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber untuk nilai input- NetworkProtocol untuk nilai pencarian |
Fungsi pembantu pengurai
Fungsi berikut melakukan tugas yang umum di pengurai dan berguna untuk mempercepat pengembangan pengurai.
Fungsi resolusi perangkat
Fungsi resolusi perangkat menganalisis nama host dan menentukan apakah ia memiliki informasi domain dan jenis notasi domain. Fungsi kemudian mengisi bidang ASIM yang relevan yang mewakili perangkat. Semua fungsi adalah menyelesaikan fungsi jenis dan menerima nama bidang yang berisi nama host, yang diwakili sebagai string, sebagai input.
| Fungsi | Bidang yang diperluas | Deskripsi |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Menganalisis nilai dalam bidang yang ditentukan dan mengatur bidang output yang sesuai. Untuk informasi selengkapnya, lihat contoh dalam artikel tentang mengembangkan parser. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Mirip _ASIM_ResolveFQDNdengan , tetapi mengatur Src bidang |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Mirip _ASIM_ResolveFQDNdengan , tetapi mengatur Dst bidang |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Mirip _ASIM_ResolveFQDNdengan , tetapi mengatur Dvc bidang |
Fungsi jenis pengguna
Fungsi jenis pengguna membantu menentukan jenis pengguna berdasarkan pola nama pengguna atau pengidentifikasi keamanan (SID).
| Fungsi | Masukan | Output | Deskripsi |
|---|---|---|---|
| _ASIM_GetUsernameType | String nama pengguna | Jenis nama pengguna | Mengembalikan jenis nama pengguna berdasarkan format nama pengguna. Nilai yang mungkin termasuk UPN (untuk nama pengguna seperti email), Windows (untuk format domain\pengguna), DN (untuk nama khusus), Simple, atau kosong jika nama pengguna kosong. |
| _ASIM_GetWindowsUserType | String nama pengguna, string SID | Tipe pengguna | Mengembalikan jenis pengguna untuk sistem Windows berdasarkan nama pengguna dan pengidentifikasi keamanan (SID). Nilai yang mungkin termasuk Admin, , ServiceGuest, Machine, System, Anonymous, Regular, atau Other. |
| _ASIM_GetUserType | String nama pengguna, string SID | Tipe pengguna | Deprecated. Gunakan _ASIM_GetWindowsUserType sebagai gantinya. Mengatur UserType di sistem Windows berdasarkan nama pengguna dan SID. |
Fungsi identifikasi sumber
Fungsi _ASIM_GetSourceBySourceType mengambil daftar sumber yang terkait dengan jenis sumber yang disediakan sebagai input dari SourceBySourceType Daftar Tonton. Fungsi ini ditujukan untuk digunakan oleh penulis pengurai. Untuk informasi selengkapnya, lihat Memfilter menurut jenis sumber menggunakan Daftar Pengawasan.
Fungsi _ASIM_GetDisabledParsers membaca ASimDisabledParsers daftar pengawasan dan menentukan berdasarkan itu apakah pengurai yang disediakan sebagai parameter dinonaktifkan. Fungsi ini digunakan secara internal oleh pengurai ASIM untuk mendukung menonaktifkan pengurai tertentu.
Fungsi daftar tonton
Fungsi daftar pengawasan menyediakan metode yang dioptimalkan untuk membaca daftar pengawasan di pengurai ASIM.
| Fungsi | Masukan | Output | Deskripsi |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias daftar pengawasan (string), kunci opsional (array dinamis) | Item daftar tonton | Membaca satu daftar pengawasan dalam format mentah. Lebih berkinerja daripada fungsi umum _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Alias daftar pengawasan (array dinamis), kunci opsional (array dinamis) | Item daftar tonton | Membaca beberapa daftar pengawasan dalam format mentah. Kasus penggunaan utama menyediakan opsi untuk menggunakan beberapa nama daftar pengawasan untuk daftar pengawasan yang sama. |
Fungsi pengayaan identitas
Fungsi pengayaan identitas membantu memperkaya data Anda dengan informasi pengguna dari tabel UEBA IdentityInfo.
| Fungsi | Masukan | Output | Deskripsi |
|---|---|---|---|
| _ASIM_IdentityInfo | None | Tabel IdentityInfo yang dinormalisasi | Menduplikasi dan menormalkan tabel IdentityInfo untuk meningkatkan kegunaannya dalam kueri. Mengembalikan tabel deduplikasi dengan nama bidang yang dinormalisasi ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabel input, parameter nama bidang | Tabel yang diperkaya | Memperkaya tataan hasil Anda dengan informasi pengguna dari tabel IdentityInfo. Gunakan parameter untuk menentukan bidang mana yang akan digunakan untuk pencocokan: AadIdField, , TenantIdFieldSidField, UpnField, atau EmailField. |
Langkah berikutnya
Artikel ini membahas fungsi bantuan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Untuk informasi selengkapnya, lihat:
- Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
- Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Parser Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Menggunakan Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Memodifikasi konten Microsoft Sentinel untuk menggunakan pengurai Model Information Keamanan Tingkat Lanjut (ASIM)