Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As funções auxiliares do ASIM (Modelo de Informações de Segurança Avançado) estendem a linguagem KQL, fornecendo uma funcionalidade que ajuda a interagir com os dados normalizados e nos analisadores de escrita.
Funções de pesquisa de enriquecimento
As funções de pesquisa de enriquecimento proporcionam um método fácil para pesquisar valores conhecidos com base em sua representação numérica. Essas funções são úteis pois os eventos costumam usar o código numérico em forma curta, enquanto os usuários preferem a forma textual. A maioria das funções tem duas formas:
A versão de pesquisa é uma função escalar que aceita como entrada o código numérico e retorna a forma textual.
Use o seguinte snippet KQL com a versão de pesquisa:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)A versão de resolução é uma função tabular que:
- É usado como um operador de pipeline KQL.
- Aceita como entrada o nome do campo que contém o valor a ser pesquisado.
- Define os campos ASIM, que normalmente contêm o valor de entrada e o valor de pesquisa resultante.
Use o seguinte snippet KQL com a versão de resolução:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)A função preenche automaticamente o campo ASIM com o resultado da pesquisa.
A versão de resolução é preferível para uso em analisadores ASIM, enquanto a versão de pesquisa é útil em consultas de uso geral. Quando uma função de pesquisa de enriquecimento precisa retornar mais de um valor, ela sempre usa o formato de resolução.
Para obter mais informações sobre funções escalares e tabulares (representadas pelas versões de pesquisa e resolução aqui, respectivamente), consulte Funções definidas pelo usuário na documentação do Kusto.
Funções do tipo de pesquisa
| Função | Entrada* | Saída | Descrição |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código numérico do tipo de consulta DNS | Nome do tipo de consulta | Traduzir um tipo de RR (registro de recurso) do DNS numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupDnsResponseCode | Código de resposta DNS numérico | Nome do código de resposta | Traduzir um código de resposta DNS numérico (RCODE) para seu nome, conforme definido pela IANA |
| _ASIM_LookupICMPType | Tipo de ICMP numérico | Nome do tipo de ICMP | Traduzir um tipo de ICMP numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupNetworkProtocol | Número de protocolo IP | Nome do protocolo IP | Traduzir um código de protocolo IP numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupHTTPStatusCode | Código de status de HTTP | Nome do código de status HTTP | Traduza um código de status HTTP numérico para seu nome, conforme definido pela IANA. Também dá suporte a códigos de status estendidos usados pelo IIS e outros servidores Web. |
| _ASIM_LookupAADcodes | Código de erro do MICROSOFT Entra ID STS | Categoria de erro | Traduza um código de erro do Microsoft Entra ID STS para sua categoria de erro, como Logon violates policy ou No such user or password. |
Resolver funções de tipo
As funções no formato de resolução executam a mesma ação que suas equivalentes de pesquisa, mas aceitam um nome de campo, fornecido como uma constante de cadeia de caracteres, como entrada e configuram campos predefinidos como saída. O valor de entrada também é atribuído a um campo predefinido.
| Função | Campos estendidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para o valor de entrada- DnsQueryTypeName para o valor de saída |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para o valor de entrada- DnsResponseCodeName para o valor de saída |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para o valor de entrada- NetworkIcmpType para o valor de pesquisa |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para o valor de entrada- NetworkProtocol para o valor de pesquisa |
Funções auxiliares do analisador
As funções a seguir executam tarefas comuns em analisadores e úteis para acelerar o desenvolvimento do analisador.
Funções de resolução do dispositivo
As funções de resolução do dispositivo analisam um nome de host e determinam se ele tem informações de domínio e o tipo de notação do domínio. Em seguida, as funções preenchem os campos ASIM relevantes que representam um dispositivo. Todas as funções são de tipo de resolução e aceitam o nome do campo que contém o nome do host, representado como uma cadeia de caracteres, como entrada.
| Função | Campos estendidos | Descrição |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analisa o valor no campo especificado e define os campos de saída conforme. Para obter mais informações, confira o exemplo no artigo sobre o desenvolvimento de analisadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os campos Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os campos Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os campos Dvc |
Funções de tipo de usuário
As funções de tipo de usuário ajudam a determinar o tipo de usuário com base em SIDs (padrões de nome de usuário ou identificadores de segurança).
| Função | Input | Saída | Descrição |
|---|---|---|---|
| _ASIM_GetUsernameType | Cadeia de caracteres de nome de usuário | Tipo de nome de usuário | Retorna o tipo de nome de usuário com base no formato do nome de usuário. Os valores possíveis incluem UPN (para nomes de usuário semelhantes a email), Windows (para domínio\formato de usuário), DN (para nomes diferenciados) Simpleou vazios se o nome de usuário estiver vazio. |
| _ASIM_GetWindowsUserType | Cadeia de caracteres de nome de usuário, cadeia de caracteres SID | Tipo de usuário | Retorna o tipo de usuário para sistemas Windows com base no SID (nome de usuário e identificador de segurança). Os valores possíveis incluem Admin, Guest, , Service, Machine, System, Anonymous, , Regularou Other. |
| _ASIM_GetUserType | Cadeia de caracteres de nome de usuário, cadeia de caracteres SID | Tipo de usuário | Preterido. Use _ASIM_GetWindowsUserType em seu lugar. Define o UserType em sistemas Windows com base no nome de usuário e no SID. |
Funções de identificação de origem
A função _ASIM_GetSourceBySourceType recupera a lista de fontes associadas a um tipo de origem fornecido como entrada da watchlist SourceBySourceType. A função destina-se a ser usada por gravadores de analisadores. Para obter mais informações, consulte Filtragem por tipo de origem usando uma watchlist.
A função _ASIM_GetDisabledParsers lê a ASimDisabledParsers watchlist e determina com base nela se o analisador fornecido como um parâmetro está desabilitado. Essa função é usada internamente por analisadores ASIM para dar suporte à desabilitação de analisadores específicos.
Funções de watchlist
As funções de watchlist fornecem métodos otimizados para ler watchlists em analisadores ASIM.
| Função | Input | Saída | Descrição |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias da watchlist (cadeia de caracteres), chaves opcionais (matriz dinâmica) | Itens da lista de observação | Lê uma única watchlist em formato bruto. Mais desempenho do que a função geral _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Aliases de watchlist (matriz dinâmica), chaves opcionais (matriz dinâmica) | Itens da lista de observação | Lê várias watchlists em formato bruto. O caso de uso primário está fornecendo uma opção para usar vários nomes de watchlist para a mesma watchlist. |
Funções de enriquecimento de identidade
As funções de enriquecimento de identidade ajudam a enriquecer seus dados com informações do usuário da tabela UEBA IdentityInfo.
| Função | Input | Saída | Descrição |
|---|---|---|---|
| _ASIM_IdentityInfo | None | Tabela IdentityInfo normalizada | Elimina duplicação e normaliza a tabela IdentityInfo para melhorar sua usabilidade em consultas. Retorna uma tabela com eliminação de duplicação com nomes de campo normalizados pelo ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabela de entrada, parâmetros de nome de campo | Tabela enriquecida | Enriquece seu conjunto de resultados com informações do usuário da tabela IdentityInfo. Use os parâmetros para especificar qual campo usar para correspondência: AadIdField, , TenantIdField, SidField, UpnFieldou EmailField. |
Próximas etapas
Este artigo aborda as funções de ajuda do ASIM (Modelo de Informações de Segurança Avançado).
Para obter mais informações, consulte:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Usando o ASIM (Modelo de Informações de Segurança Avançado)
- Modificando o conteúdo do Microsoft Sentinel para usar os analisadores do ASIM (Modelo de Informações de Segurança Avançado)