ASIM(고급 보안 정보 모델) 도우미 함수(공개 미리 보기)
ASIM(고급 보안 정보 모델) 도우미 기능은 KQL 언어를 확장하여 쓰기 파서에서 정규화된 데이터와 상호 작용할 수 있도록 하는 기능을 제공합니다.
보강 조회 함수
보강 조회 함수는 숫자 표현을 기반으로 알려진 값을 쉽게 조회하는 방법을 제공합니다. 이러한 함수는 이벤트가 짧은 형식 숫자 코드를 사용하는 경우가 많지만 사용자가 텍스트 형식을 선호하기 때문에 유용합니다. 대부분의 함수에는 다음 두 가지 형식이 있습니다.
조회 버전은 숫자 코드를 입력으로 수락하고 텍스트 형식을 반환하는 스칼라 함수입니다. 조회 버전에서 다음 KQL 코드 조각을 사용합니다.
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
resolve 버전은 다음과 같은 테이블 형식 함수입니다.
- KQL 파이프라인 연산자를 사용합니다.
- 조회할 값을 보유하는 필드의 이름을 입력으로 허용합니다.
- 일반적으로 입력 값과 결과 조회 값을 모두 보유하는 ASIM 필드를 설정합니다.
resolve 버전에서 다음 KQL 코드 조각을 사용합니다.
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
그러면 NetworkProtocol 필드가 조회 결과로 자동으로 채워집니다.
resolve 버전은 ASIM 파서에서 사용하는 것이 바람직하며, 조회 버전은 범용 쿼리에서 유용합니다. 보강 조회 함수가 둘 이상의 값을 반환해야 하는 경우 항상 resolve 형식을 사용합니다.
조회 형식 함수
| 함수 | 입력* | 출력 | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | 숫자 DNS 쿼리 형식 코드 | 쿼리 형식 이름 | IANA에 정의된 대로 숫자 DNS RR(리소스 레코드) 형식을 해당 이름으로 변환합니다. |
| _ASIM_LookupDnsResponseCode | 숫자 DNS 응답 코드 | 응답 코드 이름 | IANA에 정의된 대로 숫자 DNS RCODE(응답 코드)를 해당 이름으로 변환합니다. |
| _ASIM_LookupICMPType | 숫자 ICMP 형식 | ICMP 형식 이름 | IANA에 정의된 대로 숫자 ICMP 형식을 해당 이름으로 변환 |
| _ASIM_LookupNetworkProtocol | IP 프로토콜 번호 | IP 프로토콜 이름 | IANA에 정의된 대로 숫자 IP 프로토콜 형식을 해당 이름으로 변환 |
형식 함수 확인
resolve 형식 함수는 조회와 동일한 작업을 수행하지만 문자열 상수로 제공되는 필드 이름을 입력으로 수락하고 미리 정의된 필드를 출력으로 설정합니다. 입력 값은 미리 정의된 필드에도 할당됩니다.
| 함수 | 확장 필드 |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType 입력 값의 경우- DnsQueryTypeName 출력 값의 경우 |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode 입력 값의 경우- DnsResponseCodeName 출력 값의 경우 |
| _ASIM_ResolveICMPType | - NetworkIcmpCode 입력 값의 경우- NetworkIcmpType 조회 값의 경우 |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber 입력 값의 경우- NetworkProtocol 조회 값의 경우 |
파서 도우미 함수
다음 함수는 파서에서 일반적이며 파서 개발을 가속화하는 데 유용한 작업을 수행합니다.
디바이스 확인 함수
디바이스 확인 함수는 호스트 이름을 분석하고 도메인 정보와 도메인 표기법 유형이 있는지 여부를 확인합니다. 그런 다음, 함수는 디바이스를 나타내는 관련 ASIM 필드를 채웁니다. 모든 함수는 resolve 형식 함수이며 문자열로 표현되는 호스트 이름을 입력으로 포함하는 필드의 이름을 허용합니다.
| 함수 | 확장 필드 | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
지정된 필드의 값을 분석하고 그에 따라 출력 필드를 설정합니다. 자세한 내용은 파서 개발 문서에서 예를 참조하세요. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDN과 유사하지만 Src 필드를 설정합니다. |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDN과 유사하지만 Dst 필드를 설정합니다. |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDN과 유사하지만 Dvc 필드를 설정합니다. |
원본 식별 함수
_ASIM_GetSourceBySourceType 함수는 SourceBySourceType 관심 목록의 입력으로 제공된 원본 형식과 연결된 원본 목록을 검색합니다. 이 함수는 파서 작성자가 사용하기 위한 것입니다. 자세한 내용은 관심 목록을 사용하여 원본 유형별 필터링을 참조하세요.
다음 단계
이 문서에서는 ASIM(고급 보안 정보 모델) 문서 함수에 대해 설명합니다.
자세한 내용은 다음을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기