Funzioni helper advanced security information model (ASIM) (anteprima pubblica)
Le funzioni helper di Advanced Security Information Model (ASIM) estendono il linguaggio KQL che fornisce funzionalità che consentono di interagire con dati normalizzati e di scrivere parser.
Funzioni di ricerca dell'arricchimento
Le funzioni di ricerca dell'arricchimento offrono un metodo semplice per cercare valori noti, in base alla relativa rappresentazione numerica. Tali funzioni sono utili come gli eventi spesso usano il codice numerico di forma breve, mentre gli utenti preferiscono la forma testuale. La maggior parte delle funzioni ha due forme:
La versione di ricerca è una funzione scalare che accetta come input il codice numerico e restituisce la forma testuale. Usare il frammento di codice KQL seguente con la versione di ricerca :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
La versione di risoluzione è una funzione tabulare che:
- Viene usato un operatore della pipeline KQL.
- Accetta come input il nome del campo che contiene il valore da cercare.
- Imposta i campi ASIM che in genere contengono sia il valore di input che il valore di ricerca risultante.
Usare il frammento di codice KQL seguente con la versione di risoluzione :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Che popola automaticamente il campo NetworkProtocol con il risultato della ricerca.
La versione di risoluzione è preferibile per l'uso nei parser ASIM, mentre la versione di ricerca è utile nelle query per utilizzo generico. Quando una funzione di ricerca di arricchimento deve restituire più di un valore, userà sempre il formato di risoluzione .
Funzioni di tipo ricerca
| Funzione | Input* | Output | Descrizione |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Codice del tipo di query DNS numerico | Nome del tipo di query | Tradurre un tipo di record di risorse DNS numerico (RR) nel nome, come definito da IANA |
| _ASIM_LookupDnsResponseCode | Codice di risposta DNS numerico | Nome del codice di risposta | Tradurre un codice di risposta DNS numerico (RCODE) nel nome, come definito da IANA |
| _ASIM_LookupICMPType | Tipo ICMP numerico | Nome del tipo ICMP | Tradurre un tipo ICMP numerico nel nome, come definito da IANA |
| _ASIM_LookupNetworkProtocol | Numero di protocollo IP | Nome del protocollo IP | Tradurre un codice del protocollo IP numerico nel nome, come definito da IANA |
Risolvere le funzioni del tipo
Le funzioni di formato di risoluzione eseguono la stessa azione della controparte di ricerca, ma accettano un nome di campo, fornito come costante stringa, come input e configura campi predefiniti come output. Il valore di input viene assegnato anche a un campo predefinito.
| Funzione | Campi estesi |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType per il valore di input- DnsQueryTypeName per il valore di output |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode per il valore di input- DnsResponseCodeName per il valore di output |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode per il valore di input- NetworkIcmpType per il valore di ricerca |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber per il valore di input- NetworkProtocol per il valore di ricerca |
Funzioni helper parser
Le funzioni seguenti eseguono attività comuni nei parser e utili per accelerare lo sviluppo del parser.
Funzioni di risoluzione dei dispositivi
Le funzioni di risoluzione del dispositivo analizzano un nome host e determinano se dispone di informazioni di dominio e il tipo di notazione del dominio. Le funzioni popolano quindi i campi ASIM pertinenti che rappresentano un dispositivo. Tutte le funzioni sono funzioni di tipo di risoluzione e accettano il nome del campo contenente il nome host, rappresentato come stringa, come input.
| Funzione | Campi estesi | Descrizione |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analizza il valore nel campo specificato e imposta di conseguenza i campi di output. Per altre informazioni, vedere l'esempio nell'articolo sullo sviluppo di parser. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Simile a _ASIM_ResolveFQDN, ma imposta i Src campi |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Simile a _ASIM_ResolveFQDN, ma imposta i Dst campi |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Simile a _ASIM_ResolveFQDN, ma imposta i Dvc campi |
Funzioni di identificazione dell'origine
La funzione _ASIM_GetSourceBySourceType recupera l'elenco di origini associate a un tipo di origine fornito come input dall'elenco SourceBySourceType di controllo. La funzione è destinata all'uso da parte dei writer di parser. Per altre informazioni, vedere Filtro per tipo di origine usando un elenco di controllo.
Passaggi successivi
Questo articolo illustra le funzioni della Guida di Advanced Security Information Model (ASIM).
Per altre informazioni, vedere:
- Guardare il webinar di approfondimento su Microsoft Sentinel Normalizzare i parser e il contenuto normalizzato o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Schemi di Advanced Security Information Model (ASIM)
- Parser advanced Security Information Model (ASIM)
- Uso del modello di informazioni di sicurezza avanzate (ASIM)
- Modifica del contenuto di Microsoft Sentinel per l'uso dei parser advanced Security Information Model (ASIM)