Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcje pomocnicze zaawansowanego modelu informacji o zabezpieczeniach (ASIM) rozszerzają język KQL, zapewniając funkcje, które ułatwiają interakcję z znormalizowanymi danymi i pisanie analizatorów.
Funkcje wyszukiwania wzbogacania
Funkcje wyszukiwania wzbogacania zapewniają łatwą metodę wyszukiwania znanych wartości na podstawie ich reprezentacji liczbowej. Takie funkcje są przydatne, ponieważ zdarzenia często używają krótkiego kodu liczbowego, podczas gdy użytkownicy preferują formularz tekstowy. Większość funkcji ma dwie formy:
Wersja odnośnika jest funkcją skalarną, która akceptuje jako dane wejściowe kod liczbowy i zwraca formularz tekstowy.
Użyj następującego fragmentu kodu KQL z wersją odnośnika :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Wersja rozwiązania jest funkcją tabelaryczną, która:
- Jest używany jako operator potoku KQL.
- Akceptuje jako dane wejściowe nazwę pola przechowującego wartość do wyszukania.
- Ustawia pola ASIM zwykle przechowujące zarówno wartość wejściową, jak i wynikową wartość odnośnika.
Użyj następującego fragmentu kodu KQL z wersją rozwiązania :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funkcja automatycznie wypełnia pole ASIM wynikiem wyszukiwania.
Wersja rozwiązania jest preferowana do użycia w analizatorach ASIM, podczas gdy wersja odnośnika jest przydatna w zapytaniach ogólnego przeznaczenia. Gdy funkcja wyszukiwania wzbogacania musi zwrócić więcej niż jedną wartość, zawsze będzie używać formatu rozpoznawania .
Aby uzyskać więcej informacji na temat funkcji skalarnych i tabelarycznych (reprezentowanych odpowiednio przez wyszukiwanie i rozwiązywanie wersji w tym miejscu), zobacz Funkcje zdefiniowane przez użytkownika w dokumentacji usługi Kusto.
Funkcje typu odnośnika
| Funkcja | Wejście* | Dane wyjściowe | Opis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numeryczny kod typu zapytania DNS | Nazwa typu zapytania | Przetłumacz liczbowy typ rekordu zasobu DNS (RR) na jego nazwę, zgodnie z definicją w usłudze IANA |
| _ASIM_LookupDnsResponseCode | Numeryczny kod odpowiedzi DNS | Nazwa kodu odpowiedzi | Przetłumacz numeryczny kod odpowiedzi DNS (RCODE) na jego nazwę zgodnie z definicją IANA |
| _ASIM_LookupICMPType | Liczbowy typ protokołu ICMP | Nazwa typu ICMP | Tłumaczenie liczbowego typu ICMP na jego nazwę, zgodnie z definicją IANA |
| _ASIM_LookupNetworkProtocol | Numer protokołu IP | Nazwa protokołu IP | Tłumaczenie numerycznego kodu protokołu IP na jego nazwę, zgodnie z definicją IANA |
| _ASIM_LookupHTTPStatusCode | Kod stanu HTTP | Nazwa kodu stanu HTTP | Przetłumacz numeryczny kod stanu HTTP na jego nazwę zgodnie z definicją IANA. Obsługuje również rozszerzone kody stanu używane przez usługi IIS i inne serwery internetowe. |
| _ASIM_LookupAADcodes | kod błędu usługi MICROSOFT ENTRA ID STS | Kategoria błędów | Przetłumacz kod błędu usługi STS Microsoft Entra ID na kategorię błędów, taką jak Logon violates policy lub No such user or password. |
Rozwiązywanie problemów z funkcjami typu
Funkcje formatu rozpoznawania wykonują tę samą akcję co ich odpowiednik odnośników, ale akceptują nazwę pola podaną jako stała ciągu jako dane wejściowe i konfigurują wstępnie zdefiniowane pola jako dane wyjściowe. Wartość wejściowa jest również przypisywana do wstępnie zdefiniowanego pola.
| Funkcja | Pola rozszerzone |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType dla wartości wejściowej- DnsQueryTypeName dla wartości wyjściowej |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode dla wartości wejściowej- DnsResponseCodeName dla wartości wyjściowej |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode dla wartości wejściowej- NetworkIcmpType dla wartości odnośnika |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber dla wartości wejściowej- NetworkProtocol dla wartości odnośnika |
Funkcje pomocnika analizatora
Następujące funkcje wykonują zadania, które są typowe w analizatorach i przydatne w celu przyspieszenia programowania analizatora.
Funkcje rozpoznawania urządzeń
Funkcje rozpoznawania urządzeń analizują nazwę hosta i określają, czy zawiera ona informacje o domenie i typ notacji domeny. Następnie funkcje wypełniają odpowiednie pola usługi ASIM reprezentujące urządzenie. Wszystkie funkcje są rozpoznawanymi funkcjami typu i akceptują nazwę pola zawierającego nazwę hosta, reprezentowaną jako ciąg, jako dane wejściowe.
| Funkcja | Pola rozszerzone | Opis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analizuje wartość w określonym polu i odpowiednio ustawia pola wyjściowe. Aby uzyskać więcej informacji, zobacz przykład w artykule dotyczącym tworzenia analizatorów. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Src pola |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dst pola |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dvc pola |
Funkcje typu użytkownika
Funkcje typu użytkownika pomagają określić typ użytkownika na podstawie wzorców nazw użytkowników lub identyfikatorów zabezpieczeń (SID).
| Funkcja | Wejście | Dane wyjściowe | Opis |
|---|---|---|---|
| _ASIM_GetUsernameType | Ciąg nazwy użytkownika | Typ nazwy użytkownika | Zwraca typ nazwy użytkownika na podstawie formatu nazwy użytkownika. Możliwe wartości obejmują UPN (w przypadku nazw użytkowników podobnych do poczty e-mail), Windows (w formacie domena\użytkownik), DN (w przypadku nazw wyróżniających) Simplelub puste, jeśli nazwa użytkownika jest pusta. |
| _ASIM_GetWindowsUserType | Ciąg nazwy użytkownika, ciąg SID | Typ użytkownika | Zwraca typ użytkownika dla systemów windows na podstawie nazwy użytkownika i identyfikatora zabezpieczeń (SID). Możliwe wartości to , , , , , , , Regular, lub Other. SystemAnonymousMachineServiceGuestAdmin |
| _ASIM_GetUserType | Ciąg nazwy użytkownika, ciąg SID | Typ użytkownika | Przestarzałe. Zamiast tego użyj._ASIM_GetWindowsUserType Ustawia typ użytkownika w systemach windows na podstawie nazwy użytkownika i identyfikatora SID. |
Funkcje identyfikacji źródła
Funkcja _ASIM_GetSourceBySourceType pobiera listę źródeł skojarzonych z typem źródłowym podanym jako dane wejściowe z listy obserwowanych SourceBySourceType . Funkcja jest przeznaczona do użycia przez moduły zapisywania analizatorów. Aby uzyskać więcej informacji, zobacz Filtrowanie według typu źródła przy użyciu listy obserwowanych.
Funkcja _ASIM_GetDisabledParsers odczytuje listę ASimDisabledParsers obserwowanych i określa na jej podstawie, czy analizator podany jako parametr jest wyłączony. Ta funkcja jest używana wewnętrznie przez analizatory ASIM do obsługi wyłączania określonych analizatorów.
Funkcje listy obserwowanych
Funkcje listy obserwowanych zapewniają zoptymalizowane metody odczytywania list obserwowanych w analizatorach ASIM.
| Funkcja | Wejście | Dane wyjściowe | Opis |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias listy obserwowanych (ciąg), klucze opcjonalne (tablica dynamiczna) | Elementy listy obserwowanych | Odczytuje pojedynczą listę obserwowanych w formacie pierwotnym. Bardziej wydajna niż funkcja ogólna _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Aliasy listy obserwowanych (tablica dynamiczna), klucze opcjonalne (tablica dynamiczna) | Elementy listy obserwowanych | Odczytuje wiele list obserwowanych w formacie pierwotnym. Podstawowym przypadkiem użycia jest udostępnienie opcji używania wielu nazw listy obserwowanych dla tej samej listy obserwowanych. |
Funkcje wzbogacania tożsamości
Funkcje wzbogacania tożsamości pomagają wzbogacić dane o informacje o użytkowniku z tabeli IdentityInfo UEBA.
| Funkcja | Wejście | Dane wyjściowe | Opis |
|---|---|---|---|
| _ASIM_IdentityInfo | Brak | Znormalizowana tabela IdentityInfo | Deduplikuje i normalizuje tabelę IdentityInfo , aby zwiększyć jej użyteczność w zapytaniach. Zwraca tabelę deduplikowaną z nazwami pól znormalizowanymi przez usługę ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabela wejściowa, parametry nazwy pola | Wzbogacona tabela | Wzbogaca zestaw wyników o informacje o użytkowniku z tabeli IdentityInfo. Użyj parametrów, aby określić pole do dopasowania: AadIdField, TenantIdField, SidField, UpnField, lub EmailField. |
Zawartość pokrewna
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Modyfikowanie zawartości Microsoft Sentinel w celu używania analizatorów ASIM (Advanced Security Information Model)
- Deep Dive Webinar on Microsoft Sentinel Normalizing Parsers and Normalized Content (Seminarium internetowe znormalizowane w Microsoft Sentinel normalizowanie analizatorów i znormalizowana zawartość)