Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вспомогательные функции расширенной информационной модели безопасности (ASIM) расширяют язык KQL, предоставляя функциональные возможности, помогающие взаимодействовать с нормализованными данными и средствами синтаксического анализа.
Функции подстановки обогащения
Функции подстановки обогащения предоставляют простой метод поиска известных значений на основе их числового представления. Такие функции полезны, так как события часто используют числовой код короткой формы, а пользователи предпочитают текстовую форму. Большинство функций имеют две формы:
Версия подстановки — это скалярная функция, которая принимает в качестве входных данных числовой код и возвращает текстовую форму.
Используйте следующий фрагмент KQL с версией подстановки :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Версия resolve — это табличная функция, которая:
- Используется в качестве оператора конвейера KQL.
- Принимает в качестве входных данных имя поля, вмещая значение для поиска.
- Задает поля ASIM, обычно вмещая входное значение и итоговое значение подстановки.
Используйте следующий фрагмент KQL с версией разрешения :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Функция автоматически заполняет поле ASIM результатом поиска.
Версия разрешения предпочтительна для использования в средствах синтаксического анализа ASIM, в то время как версия подстановки полезна в запросах общего назначения. Если функция поиска обогащения должна возвращать несколько значений, она всегда будет использовать формат разрешения .
Дополнительные сведения о скалярных и табличных функциях (представленных здесь версиями поиска и разрешения соответственно) см. в разделе Определяемые пользователем функции в документации kusto.
Функции типов подстановки
| Функция | Вход* | Выходные данные | Описание |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Код типа числового запроса DNS | Имя типа запроса | Преобразование типа числовой записи ресурса DNS (RR) в его имя, как определено в IANA. |
| _ASIM_LookupDnsResponseCode | Числовой код ответа DNS | Имя кода ответа | Преобразование числового кода ответа DNS (RCODE) в его имя, как определено в IANA |
| _ASIM_LookupICMPType | Числовой тип ICMP | Имя типа ICMP | Преобразование числового типа ICMP в его имя, как определено В IANA |
| _ASIM_LookupNetworkProtocol | Номер ПРОТОКОЛА IP | Имя протокола IP | Преобразование числового ip-протокола в его имя, как определено В IANA |
| _ASIM_LookupHTTPStatusCode | Код состояния HTTP | Имя кода состояния HTTP | Преобразуйте числовой код состояния HTTP в его имя, как определено В IANA. Также поддерживает расширенные коды состояния, используемые службами IIS и другими веб-серверами. |
| _ASIM_LookupAADcodes | Код ошибки Microsoft Entra ID STS | Категория ошибки | Преобразуйте код ошибки Microsoft Entra ID STS в ее категорию ошибок, например Logon violates policy или No such user or password. |
Разрешение функций типов
Функции формата разрешения выполняют то же действие, что и их аналог подстановки, но принимают имя поля, предоставленное в виде строковой константы, в качестве входных данных и настраивают предопределенные поля в качестве выходных данных. Входное значение также присваивается предопределеному полю.
| Функция | Расширенные поля |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType для входного значения- DnsQueryTypeName для выходного значения |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode для входного значения- DnsResponseCodeName для выходного значения |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode для входного значения- NetworkIcmpType значение подстановки |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber для входного значения- NetworkProtocol значение подстановки |
Вспомогательные функции средства синтаксического анализа
Следующие функции выполняют задачи, которые являются общими в средствах синтаксического анализа и полезны для ускорения разработки средства синтаксического анализа.
Функции разрешения устройств
Функции разрешения устройств анализируют имя узла и определяют, содержит ли он сведения о домене и тип нотации домена. Затем функции заполняют соответствующие поля ASIM, представляющие устройство. Все функции являются функциями разрешения типов и принимают имя поля, содержащего имя узла, представленное в виде строки, в качестве входных данных.
| Функция | Расширенные поля | Описание |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Анализирует значение в указанном поле и задает поля вывода соответствующим образом. Дополнительные сведения см. в статье о разработке средства синтаксического анализа. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Src поля |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dst поля |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dvc поля |
Функции типов пользователей
Функции типа пользователя помогают определить тип пользователя на основе шаблонов имени пользователя или идентификаторов безопасности (SID).
| Функция | Input | Выходные данные | Описание |
|---|---|---|---|
| _ASIM_GetUsernameType | Строка имени пользователя | Тип имени пользователя | Возвращает тип имени пользователя на основе формата имени пользователя. Возможные значения: UPN (для имен пользователей, похожих на электронную почту), Windows (для формата "домен\пользователь"), DN (для различающихся имен) Simpleили пустые, если имя пользователя пусто. |
| _ASIM_GetWindowsUserType | Строка имени пользователя, строка идентификатора безопасности | Тип пользователя | Возвращает тип пользователя для систем Windows на основе имени пользователя и идентификатора безопасности (SID). Возможные значения: Admin, Guest, Service, Machine, System, Anonymous, Regularили Other. |
| _ASIM_GetUserType | Строка имени пользователя, строка идентификатора безопасности | Тип пользователя | Устарело. Вместо этого используйте _ASIM_GetWindowsUserType . Задает UserType в системах Windows на основе имени пользователя и идентификатора безопасности. |
Функции идентификации источника
Функция _ASIM_GetSourceBySourceType извлекает список источников, связанных с типом источника, указанным в качестве входных данных из списка отслеживания SourceBySourceType . Функция предназначена для использования средствами записи синтаксического анализа. Дополнительные сведения см. в разделе Фильтрация по типу источника с помощью списка отслеживания.
Функция _ASIM_GetDisabledParsers считывает ASimDisabledParsers список отслеживания и определяет на его основе, отключен ли средство синтаксического анализа, предоставленное в качестве параметра. Эта функция используется внутри средствами синтаксического анализа ASIM для поддержки конкретных синтаксического анализа.
Функции списка отслеживания
Функции списка отслеживания предоставляют оптимизированные методы для чтения списков отслеживания в средствах синтаксического анализа ASIM.
| Функция | Input | Выходные данные | Описание |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Псевдоним списка отслеживания (строка), необязательные ключи (динамический массив) | Элементы списка отслеживания | Считывает один список отслеживания в необработанном формате. Более эффективная, чем общая _GetWatchlist функция. |
| _ASIM_GetWatchlistsRaw | Псевдонимы списка отслеживания (динамический массив), необязательные ключи (динамический массив) | Элементы списка отслеживания | Считывает несколько списков просмотра в необработанном формате. Основной вариант использования — это возможность использования нескольких имен списков отслеживания для одного списка отслеживания. |
Функции обогащения удостоверений
Функции обогащения удостоверений помогают обогащать данные пользователем из таблицы UEBA IdentityInfo.
| Функция | Input | Выходные данные | Описание |
|---|---|---|---|
| _ASIM_IdentityInfo | Нет | Нормализованная таблица IdentityInfo | Дедупликирует и нормализует таблицу IdentityInfo , чтобы повысить удобство использования в запросах. Возвращает дедуплицированную таблицу с именами полей, нормализованными в ASIM. |
| _ASIM_Enrich_IdentityInfo | Входная таблица, параметры имени поля | Обогащенная таблица | Дополняет результирующий набор сведениями о пользователе из таблицы IdentityInfo. Используйте параметры, чтобы указать, какое поле следует использовать для сопоставления: AadIdField, TenantIdField, SidField, UpnFieldили EmailField. |
Связанные материалы
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Использование расширенной информационной модели безопасности (ASIM)
- Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Вебинар глубокого погружения по Microsoft Sentinel нормализации синтаксического анализа и нормализованного содержимого