Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcje pomocnicze zaawansowanego modelu informacji o zabezpieczeniach (ASIM) rozszerzają język KQL, zapewniając funkcjonalność, która pomaga w interakcji z znormalizowanymi danymi i podczas pisania analizatorów.
Funkcje wyszukiwania wzbogacania
Funkcje wyszukiwania wzbogacania zapewniają łatwą metodę wyszukiwania znanych wartości na podstawie ich reprezentacji liczbowej. Takie funkcje są przydatne, ponieważ zdarzenia często używają krótkiego kodu liczbowego, podczas gdy użytkownicy preferują formularz tekstowy. Większość funkcji ma dwie formy:
Wersja odnośnika jest funkcją skalarną, która przyjmuje jako dane wejściowe kodu liczbowego i zwraca formularz tekstowy.
Użyj następującego fragmentu kodu KQL z wersją odnośnika:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Wersja rozwiązania to funkcja tabelaryczna, która:
- Jest używany jako operator potoku KQL.
- Przyjmuje jako dane wejściowe nazwę pola zawierającego wartość do wyszukania.
- Ustawia pola ASIM zwykle przechowują zarówno wartość wejściową, jak i wynikową wartość odnośnika.
Użyj następującego fragmentu kodu KQL z wersją rozpoznawania:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funkcja automatycznie wypełnia pole ASIM wynikiem wyszukiwania.
Wersja rozpoznawania jest preferowana do użycia w analizatorach ASIM, podczas gdy wersja odnośnika jest przydatna w zapytaniach ogólnego przeznaczenia. Gdy funkcja wyszukiwania wzbogacania musi zwrócić więcej niż jedną wartość, zawsze będzie używać formatu rozpoznawania.
Aby uzyskać więcej informacji na temat funkcji skalarnych i tabelarycznych (reprezentowanych odpowiednio przez wyszukiwanie i rozpoznawanie wersji), zobacz Funkcje zdefiniowane przez użytkownika w dokumentacji usługi Kusto.
Funkcje typów odnośników
| Function | Wkład* | Wyjście | opis |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numeryczny kod typu zapytania DNS | Nazwa typu zapytania | Tłumaczenie numerycznego typu rekordu zasobu DNS (RR) na jego nazwę, zgodnie z definicją w usłudze IANA |
| _ASIM_LookupDnsResponseCode | Numeryczny kod odpowiedzi DNS | Nazwa kodu odpowiedzi | Tłumaczenie liczbowego kodu odpowiedzi DNS (RCODE) na jego nazwę, zgodnie z definicją przez IANA |
| _ASIM_LookupICMPType | Numeryczny typ ICMP | Nazwa typu ICMP | Tłumaczenie liczbowego typu ICMP na jego nazwę, zgodnie z definicją w usłudze IANA |
| _ASIM_LookupNetworkProtocol | numer protokołu IP | Nazwa protokołu IP | Tłumaczenie numerycznego kodu protokołu IP na jego nazwę zgodnie z definicją w usłudze IANA |
| _ASIM_LookupHTTPStatusCode | Kod stanu HTTP | Nazwa kodu stanu HTTP | Przetłumacz numeryczny kod stanu HTTP na jego nazwę, zgodnie z definicją w usłudze IANA. Obsługuje również rozszerzone kody stanu używane przez usługi IIS i inne serwery sieci Web. |
| _ASIM_LookupAADcodes | Kod błędu USŁUGI STS identyfikatora entra firmy Microsoft | Kategoria błędów | Przetłumacz kod błędu STS identyfikatora entra firmy Microsoft na kategorię błędów, taką jak Logon violates policy lub No such user or password. |
Rozpoznawanie funkcji typów
Funkcje formatowania rozpoznawania wykonują tę samą akcję co ich odpowiednik wyszukiwania, ale akceptują nazwę pola, podaną jako stałą ciągu, jako dane wejściowe i konfigurują wstępnie zdefiniowane pola jako dane wyjściowe. Wartość wejściowa jest również przypisywana do wstępnie zdefiniowanego pola.
| Function | Pola rozszerzone |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType dla wartości wejściowej- DnsQueryTypeName dla wartości wyjściowej |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode dla wartości wejściowej- DnsResponseCodeName dla wartości wyjściowej |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode dla wartości wejściowej- NetworkIcmpType dla wartości odnośnika |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber dla wartości wejściowej- NetworkProtocol dla wartości odnośnika |
Funkcje pomocnika analizatora
Poniższe funkcje wykonują zadania, które są wspólne w analizatorach i przydatne do przyspieszenia opracowywania analizatora.
Funkcje rozpoznawania urządzeń
Funkcje rozpoznawania urządzeń analizują nazwę hosta i określają, czy ma informacje o domenie i typ notacji domeny. Następnie funkcje wypełniają odpowiednie pola ASIM reprezentujące urządzenie. Wszystkie funkcje są rozpoznawane jako funkcje typu i akceptują nazwę pola zawierającego nazwę hosta reprezentowaną jako ciąg jako dane wejściowe.
| Function | Pola rozszerzone | opis |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analizuje wartość w określonym polu i odpowiednio ustawia pola wyjściowe. Aby uzyskać więcej informacji, zobacz przykład w artykule dotyczącym opracowywania analizatorów. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Src pola |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dst pola |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Podobnie jak _ASIM_ResolveFQDN, ale ustawia Dvc pola |
Funkcje typu użytkownika
Funkcje typu użytkownika pomagają określić typ użytkownika na podstawie wzorców nazw użytkowników lub identyfikatorów zabezpieczeń (SID).
| Function | Input | Wyjście | opis |
|---|---|---|---|
| _ASIM_GetUsernameType | Ciąg nazwy użytkownika | Typ nazwy użytkownika | Zwraca typ nazwy użytkownika na podstawie formatu nazwy użytkownika. Możliwe wartości obejmują UPN (w przypadku nazw użytkowników podobnych do poczty e-mail), Windows (w przypadku formatu domeny\użytkownika), DN (dla nazw wyróżniających), Simplelub puste, jeśli nazwa użytkownika jest pusta. |
| _ASIM_GetWindowsUserType | Ciąg nazwy użytkownika, ciąg SID | Typ użytkownika | Zwraca typ użytkownika dla systemów Windows na podstawie nazwy użytkownika i identyfikatora zabezpieczeń (SID). Możliwe wartości obejmują Admin, GuestSystemMachineAnonymousServiceRegularlub .Other |
| _ASIM_GetUserType | Ciąg nazwy użytkownika, ciąg SID | Typ użytkownika | Deprecated. Użyj _ASIM_GetWindowsUserType zamiast tego. Ustawia wartość UserType w systemach Windows na podstawie nazwy użytkownika i identyfikatora SID. |
Funkcje identyfikacji źródła
Funkcja _ASIM_GetSourceBySourceType pobiera listę źródeł skojarzonych z typem źródłowym podanym jako dane wejściowe z listy obserwowanychSourceBySourceType. Funkcja jest przeznaczona do użycia przez składniki zapisywania analizatorów. Aby uzyskać więcej informacji, zobacz Filtrowanie według typu źródła przy użyciu listy kontrolnej.
Funkcja _ASIM_GetDisabledParsers odczytuje ASimDisabledParsers listę obserwowanych i określa na podstawie tego, czy analizator podany jako parametr jest wyłączony. Ta funkcja jest używana wewnętrznie przez analizatory ASIM do obsługi wyłączania określonych analizatorów.
Funkcje listy obserwowanych
Funkcje listy obserwowanych zapewniają zoptymalizowane metody odczytywania list do obejrzenia w analizatorach ASIM.
| Function | Input | Wyjście | opis |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias listy obserwowanych (ciąg), klucze opcjonalne (tablica dynamiczna) | Elementy listy obserwowanych | Odczytuje pojedynczą listę obserwowanych w formacie nieprzetworzonym. Bardziej wydajne niż funkcja ogólna _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Aliasy listy obserwowanych (tablica dynamiczna), klucze opcjonalne (tablica dynamiczna) | Elementy listy obserwowanych | Odczytuje wiele list do obejrzenia w formacie nieprzetworzonym. Podstawowy przypadek użycia udostępnia opcję używania wielu nazw listy obserwowanych dla tej samej listy obserwowanych. |
Funkcje wzbogacania tożsamości
Funkcje wzbogacania tożsamości pomagają wzbogacić dane o informacje o użytkownikach z tabeli UEBA IdentityInfo.
| Function | Input | Wyjście | opis |
|---|---|---|---|
| _ASIM_IdentityInfo | Żaden | Tabela Normalized IdentityInfo | Deduplikuje i normalizuje tabelę IdentityInfo , aby zwiększyć użyteczność zapytań. Zwraca tabelę deduplikowaną z nazwami pól znormalizowanych za pomocą karty ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabela wejściowa, parametry nazwy pola | Wzbogacona tabela | Wzbogaca zestaw wyników o informacje o użytkowniku z tabeli IdentityInfo. Użyj parametrów, aby określić, które pole ma być używane do dopasowania: AadIdField, , TenantIdField, SidField, UpnFieldlub EmailField. |
Następne kroki
W tym artykule omówiono funkcje pomocy usługi Advanced Security Information Model (ASIM).
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Modyfikowanie zawartości usługi Microsoft Sentinel w celu używania analizatorów advanced Security Information Model (ASIM)