ASIM-helperfuncties (Advanced Security Information Model) (openbare preview)
ASIM-helperfuncties (Advanced Security Information Model) breiden de KQL-taal uit en bieden functionaliteit waarmee u kunt communiceren met genormaliseerde gegevens en bij het schrijven van parsers.
Verrijkingszoekfuncties
Verrijkingszoekfuncties bieden een eenvoudige methode voor het opzoeken van bekende waarden op basis van hun numerieke weergave. Dergelijke functies zijn handig omdat gebeurtenissen vaak de korte numerieke code van de vorm gebruiken, terwijl gebruikers de voorkeur geven aan de tekstvorm. De meeste functies hebben twee vormen:
De opzoekversie is een scalaire functie die de numerieke code accepteert als invoer en de tekstvorm retourneert. Gebruik het volgende KQL-fragment met de opzoekversie :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
De oplossingsversie is een tabellaire functie die:
- Wordt gebruikt een KQL-pijplijnoperator.
- Accepteert als invoer de naam van het veld met de waarde die moet worden opgezoekd.
- Hiermee stelt u de ASIM-velden in die doorgaans zowel de invoerwaarde als de resulterende opzoekwaarde bevatten.
Gebruik het volgende KQL-fragment met de oplossingsversie :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Hiermee wordt het veld NetworkProtocol automatisch gevuld met het resultaat van de zoekactie.
De oplossingsversie heeft de voorkeur voor gebruik in ASIM-parsers, terwijl de opzoekversie handig is in algemene query's. Wanneer een verrijkingszoekfunctie meer dan één waarde moet retourneren, wordt altijd de indeling resolve gebruikt.
Opzoektypefuncties
| Functie | Input* | Uitvoer | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Code van het numerieke DNS-querytype | Naam van querytype | Een type numerieke DNS-resourcerecord (RR) vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupDnsResponseCode | Numerieke DNS-antwoordcode | Naam van antwoordcode | Vertaal een numerieke DNS-antwoordcode (RCODE) naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupICMPType | Numeriek ICMP-type | ICMP-typenaam | Een numeriek ICMP-type vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupNetworkProtocol | het IP-protocolnummer | IP-protocolnaam | Een numerieke IP-protocolcode vertalen naar de naam, zoals gedefinieerd door IANA |
Typefuncties oplossen
De functies voor het oplossen van opmaak voeren dezelfde actie uit als hun opzoek-tegenhanger, maar accepteren een veldnaam, opgegeven als tekenreeksconstante, als invoer en stellen vooraf gedefinieerde velden in als uitvoer. De invoerwaarde wordt ook toegewezen aan een vooraf gedefinieerd veld.
| Functie | Uitgebreide velden |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType voor de invoerwaarde- DnsQueryTypeName voor de uitvoerwaarde |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode voor de invoerwaarde- DnsResponseCodeName voor de uitvoerwaarde |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode voor de invoerwaarde- NetworkIcmpType voor de opzoekwaarde |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber voor de invoerwaarde- NetworkProtocol voor de opzoekwaarde |
Helperfuncties voor parser
Met de volgende functies worden taken uitgevoerd die gebruikelijk zijn in parsers en nuttig zijn om de ontwikkeling van parsers te versnellen.
Functies voor apparaatomzetting
De apparaatomzettingsfuncties analyseren een hostnaam en bepalen of deze domeingegevens en het type domeinnotatie bevat. De functies vullen vervolgens de relevante ASIM-velden in die een apparaat vertegenwoordigen. Alle functies zijn resolve-typefuncties en accepteren de naam van het veld met de hostnaam, weergegeven als een tekenreeks, als invoer.
| Functie | Uitgebreide velden | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyseert de waarde in het opgegeven veld en stelt de uitvoervelden dienovereenkomstig in. Zie het voorbeeld in het artikel over het ontwikkelen van parsers voor meer informatie. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNVergelijkbaar met , maar stelt de velden in Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDNVergelijkbaar met , maar stelt de velden in Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNVergelijkbaar met , maar stelt de velden in Dvc |
Functies voor bronidentificatie
Met de functie _ASIM_GetSourceBySourceType wordt de lijst met bronnen opgehaald die zijn gekoppeld aan een brontype dat is opgegeven als invoer uit de SourceBySourceType volglijst. De functie is bedoeld voor gebruik door schrijvers van parsers. Zie Filteren op brontype met behulp van een volglijst voor meer informatie.
Volgende stappen
In dit artikel worden de Help-functies van ASIM (Advanced Security Information Model) besproken.
Zie voor meer informatie:
- Bekijk de Deep Dive-webinar op Microsoft Sentinel Parsers en genormaliseerde inhoud normaliseren of bekijk de dia's
- Overzicht van Advanced Security Information Model (ASIM)
- ASIM-schema's (Advanced Security Information Model)
- ASIM-parsers (Advanced Security Information Model)
- Het Advanced Security Information Model (ASIM) gebruiken
- Microsoft Sentinel-inhoud wijzigen om de ASIM-parsers (Advanced Security Information Model) te gebruiken