Funções auxiliares do ASIM (Modelo de Informações de Segurança Avançado) (visualização pública)
As funções auxiliares do ASIM (Modelo de Informações de Segurança Avançado) estendem a linguagem KQL, fornecendo uma funcionalidade que ajuda a interagir com os dados normalizados e nos analisadores de escrita.
Funções de pesquisa de enriquecimento
As funções de pesquisa de enriquecimento proporcionam um método fácil para pesquisar valores conhecidos com base em sua representação numérica. Essas funções são úteis pois os eventos costumam usar o código numérico em forma curta, enquanto os usuários preferem a forma textual. A maioria das funções tem duas formas:
A versão de pesquisa é uma função escalar que aceita como entrada o código numérico e retorna a forma textual. Use o seguinte snippet KQL com a versão de pesquisa:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
A versão de resolução é uma função tabular que:
- É usada com um operador de pipeline KQL.
- Aceita como entrada o nome do campo que contém o valor a ser pesquisado.
- Define os campos ASIM, que normalmente contêm o valor de entrada e o valor de pesquisa resultante.
Use o seguinte snippet KQL com a versão de resolução:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Ele preencherá automaticamente o campo NetworkProtocol com o resultado da pesquisa.
A versão de resolução é preferível para uso em analisadores ASIM, enquanto de pesquisa é útil em consultas de uso geral. Quando uma função de pesquisa de enriquecimento precisa retornar mais de um valor, ela sempre usa o formato de resolução.
Funções do tipo de pesquisa
| Função | Entrada* | Saída | Descrição |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código numérico do tipo de consulta DNS | Nome do tipo de consulta | Traduzir um tipo de RR (registro de recurso) do DNS numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupDnsResponseCode | Código de resposta DNS numérico | Nome do código de resposta | Traduzir um código de resposta DNS numérico (RCODE) para seu nome, conforme definido pela IANA |
| _ASIM_LookupICMPType | Tipo de ICMP numérico | Nome do tipo de ICMP | Traduzir um tipo de ICMP numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupNetworkProtocol | Número de protocolo IP | Nome do protocolo IP | Traduzir um código de protocolo IP numérico para seu nome, conforme definido pela IANA |
Resolver funções de tipo
As funções no formato de resolução executam a mesma ação que suas equivalentes de pesquisa, mas aceitam um nome de campo, fornecido como uma constante de cadeia de caracteres, como entrada e configuram campos predefinidos como saída. O valor de entrada também é atribuído a um campo predefinido.
| Função | Campos estendidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para o valor de entrada- DnsQueryTypeName para o valor de saída |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para o valor de entrada- DnsResponseCodeName para o valor de saída |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para o valor de entrada- NetworkIcmpType para o valor de pesquisa |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para o valor de entrada- NetworkProtocol para o valor de pesquisa |
Funções auxiliares do analisador
As funções a seguir executam tarefas comuns em analisadores e úteis para acelerar o desenvolvimento do analisador.
Funções de resolução do dispositivo
As funções de resolução do dispositivo analisam um nome de host e determinam se ele tem informações de domínio e o tipo de notação do domínio. Em seguida, as funções preenchem os campos ASIM relevantes que representam um dispositivo. Todas as funções são de tipo de resolução e aceitam o nome do campo que contém o nome do host, representado como uma cadeia de caracteres, como entrada.
| Função | Campos estendidos | Descrição |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analisa o valor no campo especificado e define os campos de saída conforme. Para obter mais informações, confira o exemplo no artigo sobre o desenvolvimento de analisadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os campos Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os campos Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os campos Dvc |
Funções de identificação de origem
A função _ASIM_GetSourceBySourceType recupera a lista de fontes associadas a um tipo de origem fornecido como entrada da watchlist SourceBySourceType. A função destina-se a ser usada por gravadores de analisadores. Para obter mais informações, consulte Filtragem por tipo de origem usando uma watchlist.
Próximas etapas
Este artigo aborda as funções de ajuda do ASIM (Modelo de Informações de Segurança Avançado).
Para obter mais informações, consulte:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Usando o ASIM (Modelo de Informações de Segurança Avançado)
- Modificando o conteúdo do Microsoft Sentinel para usar os analisadores do ASIM (Modelo de Informações de Segurança Avançado)