Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вспомогательные функции расширенной информационной модели безопасности (ASIM) расширяют язык KQL, предоставляющий функциональные возможности для взаимодействия с нормализованными данными и средствами синтаксического анализа.
Функции подстановки обогащения
Функции подстановки обогащения предоставляют простой метод поиска известных значений на основе их числового представления. Такие функции полезны, так как события часто используют короткий числовый код формы, а пользователи предпочитают текстовую форму. Большинство функций имеют две формы:
Версия подстановки — это скалярная функция, которая принимает в качестве входных данных числовый код и возвращает текстовую форму.
Используйте следующий фрагмент кода KQL с версией подстановки:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Версия разрешения — это табличная функция, которая:
- Используется в качестве оператора конвейера KQL.
- Принимает в качестве входных данных имя поля, которое содержит значение для поиска.
- Задает поля ASIM, как правило, удерживая входное значение и результирующее значение подстановки.
Используйте следующий фрагмент кода KQL с версией разрешения :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Функция автоматически заполняет поле ASIM результатом поиска.
Версия разрешения предпочтительна для использования в средствах синтаксического анализа ASIM, а версия подстановки полезна в запросах общего назначения. Если функция подстановки обогащения должна возвращать несколько значений , она всегда будет использовать формат разрешения .
Дополнительные сведения о скалярных и табличных функциях (представленных подстановками и разрешением версий здесь, соответственно), см . в документации Kusto по определяемым пользователем функциям .
Функции типа подстановки
| Function | Ввод* | Выходные данные | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Код типа запроса DNS числового типа | Имя типа запроса | Преобразование числового типа записи ресурса DNS (RR) в имя в соответствии с IANA |
| _ASIM_LookupDnsResponseCode | Числовой код ответа DNS | Имя кода ответа | Преобразование числового кода отклика DNS (RCODE) в имя в соответствии с IANA |
| _ASIM_LookupICMPType | Числовой тип ICMP | Имя типа ICMP | Перевод числового типа ICMP в его имя, как определено IANA |
| _ASIM_LookupNetworkProtocol | номер IP-протокола. | Имя IP-протокола | Перевод числового кода IP-протокола в его имя, как определено IANA |
| _ASIM_LookupHTTPStatusCode | Код состояния HTTP | Имя кода состояния HTTP | Преобразуем числовой код состояния HTTP в его имя, как определено IANA. Также поддерживает расширенные коды состояния, используемые IIS и другими веб-серверами. |
| _ASIM_LookupAADcodes | Код ошибки STS идентификатора записи Майкрософт | Категория ошибки | Перевод кода ошибки STS идентификатора записи Майкрософт в категорию ошибок, например Logon violates policy или No such user or password. |
Разрешение функций типа
Функции разрешения формата выполняют то же действие, что и их аналог подстановки, но примите имя поля, предоставленное в виде строковой константы, в качестве входных и настроенных предопределенных полей в качестве выходных данных. Входное значение также назначается предопределенным полем.
| Function | Расширенные поля |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType для входного значения- DnsQueryTypeName для выходного значения |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode для входного значения- DnsResponseCodeName для выходного значения |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode для входного значения- NetworkIcmpType значение подстановки |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber для входного значения- NetworkProtocol значение подстановки |
Вспомогательные функции синтаксического анализатора
Следующие функции выполняют задачи, которые являются общими в средствах синтаксического анализа и полезны для ускорения разработки синтаксического анализа.
Функции разрешения устройств
Функции разрешения устройств анализируют имя узла и определяют, имеет ли он сведения о домене и тип нотации домена. Затем функции заполняют соответствующие поля ASIM, представляющие устройство. Все функции разрешают функции типа и принимают имя поля, содержащего имя узла, представленное в виде строки в качестве входных данных.
| Function | Расширенные поля | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Анализирует значение в указанном поле и задает соответствующие поля выходных данных. Дополнительные сведения см. в примере в статье о разработке средств синтаксического анализа. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Src поля |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dst поля |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNАналогично , но задает Dvc поля |
Функции типа пользователя
Функции типа пользователя помогают определить тип пользователя на основе шаблонов имени пользователя или идентификаторов безопасности (SID).
| Function | Ввод | Выходные данные | Description |
|---|---|---|---|
| _ASIM_GetUsernameType | Строка имени пользователя | Тип имени пользователя | Возвращает тип имени пользователя в зависимости от формата имени пользователя. Возможные значения включают UPN (для имен пользователей, таких как электронная почта), Windows (для формата домена\пользователя), DN (для различающихся имен) Simpleили пустых, если имя пользователя пусто. |
| _ASIM_GetWindowsUserType | Строка имени пользователя, строка SID | Тип пользователя | Возвращает тип пользователя для систем Windows на основе идентификатора имени пользователя и безопасности (SID). Возможные значения: Admin, Guest, MachineAnonymousRegularServiceSystemили .Other |
| _ASIM_GetUserType | Строка имени пользователя, строка SID | Тип пользователя | Устарело. Вместо этого используйте _ASIM_GetWindowsUserType. Задает UserType в системах Windows на основе имени пользователя и идентификатора безопасности. |
Функции идентификации источника
Функция _ASIM_GetSourceBySourceType извлекает список источников, связанных с типом источника, предоставленным в качестве входных данных из SourceBySourceType списка наблюдения. Функция предназначена для использования средствами записи синтаксического анализа. Дополнительные сведения см. в разделе "Фильтрация по типу источника" с помощью списка наблюдения.
Функция _ASIM_GetDisabledParsers считывает ASimDisabledParsers список наблюдения и определяет, отключен ли средство синтаксического анализа в качестве параметра. Эта функция используется внутренними средствами синтаксического анализа ASIM для поддержки отключения определенных синтаксического анализа.
Функции списка наблюдения
Функции списка наблюдения предоставляют оптимизированные методы для чтения списков наблюдения в средствах синтаксического анализа ASIM.
| Function | Ввод | Выходные данные | Description |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Псевдоним списка наблюдения (строка), необязательные ключи (динамический массив) | Элементы списка наблюдения | Считывает один список наблюдения в необработанном формате. Больше производительности, чем общая _GetWatchlist функция. |
| _ASIM_GetWatchlistsRaw | Псевдонимы списка наблюдения (динамический массив), необязательные ключи (динамический массив) | Элементы списка наблюдения | Считывает несколько списков наблюдения в необработанном формате. Основной вариант использования — использование нескольких имен списков наблюдения для одного и того же списка наблюдения. |
Функции обогащения удостоверений
Функции обогащения удостоверений помогают дополнить данные данными пользователей из таблицы UEBA IdentityInfo.
| Function | Ввод | Выходные данные | Description |
|---|---|---|---|
| _ASIM_IdentityInfo | None | Нормализованная таблица IdentityInfo | Дедупликации и нормализует таблицу IdentityInfo , чтобы повысить удобство использования в запросах. Возвращает дедупликированную таблицу с именами полей, нормализованными ASIM. |
| _ASIM_Enrich_IdentityInfo | Входная таблица, параметры имени поля | Обогащенная таблица | Обогащает результирующий набор данными пользователя из таблицы IdentityInfo. Используйте параметры, чтобы указать, какое поле следует использовать для сопоставления: AadIdField, , TenantIdField, SidFieldUpnFieldили EmailField. |
Следующие шаги
В этой статье рассматриваются вспомогательные функции расширенной информационной модели безопасности (ASIM).
Дополнительные сведения см. в разделе:
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Использование расширенной информационной модели безопасности (ASIM)
- Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)