ASIM(고급 보안 정보 모델) 도우미 기능은 KQL 언어를 확장하여 쓰기 파서에서 정규화된 데이터와 상호 작용할 수 있도록 하는 기능을 제공합니다.
보강 조회 함수
보강 조회 함수는 숫자 표현을 기반으로 알려진 값을 쉽게 조회하는 방법을 제공합니다. 이러한 함수는 이벤트가 짧은 형식 숫자 코드를 사용하는 경우가 많지만 사용자는 텍스트 형식을 선호하기 때문에 유용합니다. 대부분의 함수에는 다음 두 가지 형식이 있습니다.
조회 버전은 숫자 코드를 입력으로 수락하고 텍스트 형식을 반환하는 스칼라 함수입니다.
조회 버전에서 다음 KQL 코드 조각을 사용합니다.
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)확인 버전은 다음과 같은 테이블 형식 함수입니다.
- KQL 파이프라인 연산자로 사용됩니다.
- 조회할 값을 보유하는 필드의 이름을 입력으로 허용합니다.
- 일반적으로 입력 값과 결과 조회 값을 모두 포함하는 ASIM 필드를 설정합니다.
확인 버전에서 다음 KQL 코드 조각을 사용합니다.
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)함수는 조회 결과로 ASIM 필드를 자동으로 채웁니다.
확인 버전은 ASIM 파서에서 사용하는 것이 낫지만 조회 버전은 범용 쿼리에서 유용합니다. 보강 조회 함수가 둘 이상의 값을 반환해야 하는 경우 항상 확인 형식을 사용합니다.
스칼라 및 테이블 형식 함수(각각 조회 및 확인 버전으로 표시됨)에 대한 자세한 내용은 Kusto 설명서의 사용자 정의 함수를 참조하세요.
조회 형식 함수
| 함수 | 입력* | 출력 | 설명 |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | 숫자 DNS 쿼리 형식 코드 | 쿼리 형식 이름 | IANA에 정의된 대로 숫자 DNS RR(리소스 레코드) 형식을 해당 이름으로 변환합니다. |
| _ASIM_LookupDnsResponseCode | 숫자 DNS 응답 코드 | 응답 코드 이름 | IANA에 정의된 대로 숫자 DNS RCODE(응답 코드)를 해당 이름으로 변환합니다. |
| _ASIM_LookupICMPType | 숫자 ICMP 형식 | ICMP 형식 이름 | IANA에서 정의 한 대로 숫자 ICMP 형식을 해당 이름으로 변환 |
| _ASIM_LookupNetworkProtocol | IP 프로토콜 번호 | IP 프로토콜 이름 | IANA에서 정의 한 대로 숫자 IP 프로토콜 코드를 해당 이름으로 변환 |
| _ASIM_LookupHTTPStatusCode | HTTP 상태 코드 | HTTP 상태 코드 이름 | IANA에서 정의한 대로 숫자 HTTP 상태 코드를 해당 이름으로 변환합니다. IIS 및 기타 웹 서버에서 사용하는 확장 상태 코드도 지원합니다. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS 오류 코드 | 오류 범주 | Microsoft Entra ID STS 오류 코드를 오류 범주(예: 또는 No such user or password.)로 Logon violates policy 변환합니다. |
형식 함수 확인
확인 형식 함수는 조회 함수와 동일한 작업을 수행하지만 문자열 상수로 제공된 필드 이름을 입력으로 수락하고 미리 정의된 필드를 출력으로 설정합니다. 입력 값도 미리 정의된 필드에 할당됩니다.
| 함수 | 확장 필드 |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType 입력 값의 경우- DnsQueryTypeName 출력 값의 경우 |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode 입력 값의 경우- DnsResponseCodeName 출력 값의 경우 |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode 입력 값의 경우- NetworkIcmpType 조회 값의 경우 |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber 입력 값의 경우- NetworkProtocol 조회 값의 경우 |
파서 도우미 함수
다음 함수는 파서에서 일반적이며 파서 개발을 가속화하는 데 유용한 작업을 수행합니다.
디바이스 확인 함수
디바이스 확인 함수는 호스트 이름을 분석하고 도메인 정보와 도메인 표기법 유형이 있는지 여부를 확인합니다. 그런 다음 함수는 디바이스를 나타내는 관련 ASIM 필드를 채웁니다. 모든 함수는 확인 형식 함수이며 문자열로 표현되는 호스트 이름을 입력으로 포함하는 필드의 이름을 허용합니다.
| 함수 | 확장 필드 | 설명 |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
지정된 필드의 값을 분석하고 그에 따라 출력 필드를 설정합니다. 자세한 내용은 파서 개발 문서에서 예를 참조하세요. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDN유사하지만 필드를 설정합니다.Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDN유사하지만 필드를 설정합니다.Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDN유사하지만 필드를 설정합니다.Dvc |
사용자 유형 함수
사용자 유형 함수는 사용자 이름 패턴 또는 SID(보안 식별자)를 기반으로 사용자 유형을 결정하는 데 도움이 됩니다.
| 함수 | Input | 출력 | 설명 |
|---|---|---|---|
| _ASIM_GetUsernameType | 사용자 이름 문자열 | 사용자 이름 유형 | 사용자 이름 형식에 따라 사용자 이름 형식을 반환합니다. 가능한 값은 UPN (전자 메일과 유사한 사용자 이름), Windows (도메인\사용자 형식의 경우), DN (고유 이름의 경우) Simple또는 사용자 이름이 비어 있는 경우 비어 있습니다. |
| _ASIM_GetWindowsUserType | 사용자 이름 문자열, SID 문자열 | 사용자 유형 | 사용자 이름 및 SID(보안 식별자)를 기반으로 Windows 시스템의 사용자 유형을 반환합니다. 가능한 값으로는 Admin,, Guest, ServiceMachine, AnonymousSystem, Regular또는 Other. |
| _ASIM_GetUserType | 사용자 이름 문자열, SID 문자열 | 사용자 유형 | Deprecated.
_ASIM_GetWindowsUserType를 대신 사용하세요. 사용자 이름 및 SID를 기반으로 Windows 시스템에서 UserType을 설정합니다. |
원본 식별 함수
_ASIM_GetSourceBySourceType 함수는 관심 목록의 입력 SourceBySourceType 으로 제공된 원본 형식과 연결된 원본 목록을 검색합니다. 이 함수는 파서 작성기에서 사용하기 위한 것입니다. 자세한 내용은 관심 목록을 사용하여 원본 유형별로 필터링을 참조하세요.
_ASIM_GetDisabledParsers 함수는 관심 목록을 읽고 ASimDisabledParsers 매개 변수로 제공된 파서가 비활성화되었는지 여부를 기반으로 결정합니다. 이 함수는 ASIM 파서에서 내부적으로 특정 파서를 사용하지 않도록 설정하는 데 사용됩니다.
관심 목록 함수
관심 목록 함수는 ASIM 파서에서 관심 목록을 읽기 위한 최적화된 메서드를 제공합니다.
| 함수 | Input | 출력 | 설명 |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | 관심 목록 별칭(문자열), 선택적 키(동적 배열) | 관심 목록 항목 | 원시 형식으로 단일 관심 목록을 읽습니다. 일반 _GetWatchlist 함수보다 성능이 더 높습니다. |
| _ASIM_GetWatchlistsRaw | 관심 목록 별칭(동적 배열), 선택적 키(동적 배열) | 관심 목록 항목 | 여러 관심 목록을 원시 형식으로 읽습니다. 기본 사용 사례는 동일한 관심 목록에 대해 여러 관심 목록 이름을 사용하는 옵션을 제공하는 것입니다. |
ID 보강 함수
ID 보강 함수는 UEBA IdentityInfo 테이블의 사용자 정보를 사용하여 데이터를 보강하는 데 도움이 됩니다.
| 함수 | Input | 출력 | 설명 |
|---|---|---|---|
| _ASIM_IdentityInfo | None | 정규화된 IdentityInfo 테이블 | IdentityInfo 테이블을 중복 제거 및 정규화하여 쿼리에서 유용성을 향상시킵니다. ASIM 정규화된 필드 이름을 사용하여 중복 제거된 테이블을 반환합니다. |
| _ASIM_Enrich_IdentityInfo | 입력 테이블, 필드 이름 매개 변수 | 보강된 테이블 |
IdentityInfo 테이블의 사용자 정보를 사용하여 결과 집합을 보강합니다. 매개 변수를 사용하여 일치에 사용할 필드를 지정합니다. AadIdFieldTenantIdFieldSidFieldUpnFieldEmailField |
다음 단계
이 문서에서는 ASIM(고급 보안 정보 모델) 문서 함수에 대해 설명합니다.
자세한 내용은 다음을 참조하세요.