Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As funções auxiliares do ASIM (Advanced Security Information Model) estendem a linguagem KQL, fornecendo funcionalidades que ajudam a interagir com dados normalizados e a escrever analisadores.
Funções de pesquisa de enriquecimento
As funções de pesquisa de enriquecimento fornecem um método fácil de procurar valores conhecidos, com base na sua representação numérica. Tais funções são úteis, pois os eventos geralmente usam o código numérico de forma curta, enquanto os usuários preferem a forma textual. A maioria das funções tem duas formas:
A versão de pesquisa é uma função escalar que aceita como entrada o código numérico e retorna a forma textual.
Use o seguinte trecho do KQL com a versão de pesquisa :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)A versão resolve é uma função tabular que:
- É usado como um operador de pipeline KQL.
- Aceita como entrada o nome do campo que contém o valor a ser pesquisado.
- Define os campos ASIM que normalmente contêm o valor de entrada e o valor de pesquisa resultante.
Use o seguinte trecho do KQL com a versão de resolução :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)A função preenche automaticamente o campo ASIM com o resultado da pesquisa.
A versão resolve é preferível para uso em analisadores ASIM, enquanto a versão de pesquisa é útil em consultas de uso geral. Quando uma função de pesquisa de enriquecimento tem que retornar mais de um valor, ela sempre usará o formato de resolução .
Para obter mais informações sobre funções escalares e tabulares (representadas pelas versões de pesquisa e resolução aqui, respectivamente), consulte Funções definidas pelo usuário na documentação do Kusto.
Funções de tipo de pesquisa
| Function | Entrada* | Saída | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código numérico do tipo de consulta DNS | Nome do tipo de consulta | Traduzir um tipo numérico de registro de recurso DNS (RR) para seu nome, conforme definido pela IANA |
| _ASIM_LookupDnsResponseCode | Código de resposta DNS numérico | Nome do código de resposta | Traduzir um código de resposta DNS numérico (RCODE) para o seu nome, conforme definido pela IANA |
| _ASIM_LookupICMPType | Tipo de ICMP numérico | Nome do tipo ICMP | Traduzir um tipo ICMP numérico para seu nome, conforme definido pela IANA |
| _ASIM_LookupNetworkProtocol | número do protocolo IP | Nome do protocolo IP | Traduzir um código de protocolo IP numérico para o seu nome, conforme definido pela IANA |
| _ASIM_LookupHTTPStatusCode | Código de estado de HTTP | Nome de código de estado HTTP | Traduza um código de estado HTTP numérico para o seu nome, conforme definido pela IANA. Também suporta códigos de estado estendidos usados pelo IIS e outros servidores web. |
| _ASIM_LookupAADcodes | Código de erro STS do ID Microsoft Entra | Categoria de erro | Traduza um código de erro STS do ID do Microsoft Entra para a sua categoria de erro, como Logon violates policy ou No such user or password. |
Resolver funções de tipo
As funções de formato de resolução executam a mesma ação que sua contraparte de pesquisa, mas aceitam um nome de campo, fornecido como uma constante de cadeia de caracteres, como entrada e configuram campos predefinidos como saída. O valor de entrada também é atribuído a um campo predefinido.
| Function | Campos estendidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para o valor de entrada- DnsQueryTypeName para o valor de saída |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para o valor de entrada- DnsResponseCodeName para o valor de saída |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para o valor de entrada- NetworkIcmpType para o valor de pesquisa |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para o valor de entrada- NetworkProtocol para o valor de pesquisa |
Funções auxiliares do analisador
As funções a seguir executam tarefas que são comuns em analisadores e úteis para acelerar o desenvolvimento do analisador.
Funções de resolução do dispositivo
As funções de resolução de dispositivo analisam um nome de host e determinam se ele tem informações de domínio e o tipo de notação de domínio. Em seguida, as funções preenchem os campos ASIM relevantes que representam um dispositivo. Todas as funções são funções de tipo de resolução e aceitam o nome do campo que contém o nome do host, representado como uma cadeia de caracteres, como entrada.
| Function | Campos estendidos | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analisa o valor no campo especificado e define os campos de saída de acordo. Para obter mais informações, consulte o exemplo no artigo sobre o desenvolvimento de analisadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Semelhante ao _ASIM_ResolveFQDN, mas define os Src campos |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Semelhante ao _ASIM_ResolveFQDN, mas define os Dst campos |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Semelhante ao _ASIM_ResolveFQDN, mas define os Dvc campos |
Funções de tipo de utilizador
As funções de tipo de utilizador ajudam a determinar o tipo de utilizador com base em padrões de nomes de utilizador ou identificadores de segurança (SIDs).
| Function | Entrada | Saída | Description |
|---|---|---|---|
| _ASIM_GetUsernameType | Cadeia de caracteres de nome de usuário | Tipo de nome de utilizador | Devolve o tipo de nome de utilizador com base no formato do nome de utilizador. Os valores possíveis incluem UPN (para nomes de utilizador semelhantes a emails), Windows (para domínio\formato de utilizador), DN (para nomes distintos), Simple, ou vazio se o nome de utilizador estiver vazio. |
| _ASIM_GetWindowsUserType | String de nome de utilizador, string SID | Tipo de utilizador | Devolve o tipo de utilizador para sistemas Windows com base no nome de utilizador e identificador de segurança (SID). Os valores possíveis incluem Admin, Guest, Service, Machine, SystemAnonymous, , Regular, ou Other. |
| _ASIM_GetUserType | String de nome de utilizador, string SID | Tipo de utilizador | Deprecated. Utilize _ASIM_GetWindowsUserType em substituição. Define o UserType nos sistemas Windows com base no nome de utilizador e no SID. |
Funções de identificação da fonte
A função _ASIM_GetSourceBySourceType recupera a lista de fontes associadas a um tipo de fonte fornecido como entrada da SourceBySourceType Lista de observação. A função destina-se ao uso por escritores de analisadores. Para obter mais informações, consulte Filtrando por tipo de fonte usando uma Lista de observação.
A função _ASIM_GetDisabledParsers lê a ASimDisabledParsers watchlist e determina, com base nela, se o parser fornecido como parâmetro está desativado. Esta função é usada internamente pelos analisadores ASIM para suportar a desativação de analisadores específicos.
Funções de lista de vigilância
As funções de listas de observação fornecem métodos otimizados para ler listas de observação nos analisadores ASIM.
| Function | Entrada | Saída | Description |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias de watchlist (string), chaves opcionais (array dinâmico) | Itens da lista de vigilância | Lê uma única lista de visualização em formato bruto. Mais eficiente do que a função geral _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Alias de watchlist (array dinâmico), chaves opcionais (array dinâmico) | Itens da lista de vigilância | Lê várias listas de visualização em formato bruto. O principal caso de uso é fornecer uma opção para usar múltiplos nomes de listas de observação para a mesma lista de observação. |
Funções de enriquecimento de identidade
As funções de enriquecimento de identidade ajudam a enriquecer os seus dados com informações de utilizador da tabela UEBA IdentityInfo.
| Function | Entrada | Saída | Description |
|---|---|---|---|
| _ASIM_IdentityInfo | Nenhum | Tabela IdentityInfo Normalizada | Desduplica e normaliza a tabela IdentityInfo para melhorar a sua usabilidade em consultas. Devolve uma tabela desduplicada com nomes de campos normalizados por ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabela de entrada, parâmetros do nome do campo | Tabela enriquecida | Enriquece o seu conjunto de resultados com informações do utilizador da tabela IdentityInfo. Use os parâmetros para especificar qual campo usar para o emparelhamento: AadIdField, TenantIdField, SidField, UpnField, ou EmailField. |
Próximos passos
Este artigo descreve as funções de ajuda ASIM (Advanced Security Information Model).
Para obter mais informações, consulte:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Usando o modelo avançado de informações de segurança (ASIM)
- Modificando o conteúdo do Microsoft Sentinel para usar os analisadores ASIM (Advanced Security Information Model)