Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Asim-hjälpfunktioner (Advanced Security Information Model) utökar KQL-språket med funktioner som hjälper dig att interagera med normaliserade data och skriva parsers.
Uppslagsfunktioner för berikande
Uppslagsfunktioner för berikande ger en enkel metod för att söka efter kända värden baserat på deras numeriska representation. Sådana funktioner är användbara eftersom händelser ofta använder den kortformsnumriska koden, medan användarna föredrar textformuläret. De flesta funktionerna har två former:
Uppslagsversionen är en skalär funktion som accepterar den numeriska koden som indata och returnerar textformuläret.
Använd följande KQL-kodfragment med uppslagsversionen:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Lösningsversionen är en tabellfunktion som:
- Används som KQL-pipelineoperator.
- Accepterar som indata namnet på fältet som innehåller det värde som ska slås upp.
- Anger ASIM-fälten som vanligtvis innehåller både indatavärdet och det resulterande uppslagsvärdet.
Använd följande KQL-kodfragment med lösningsversionen:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funktionen fyller automatiskt i ASIM-fältet med resultatet av sökningen.
Lös version är att föredra för användning i ASIM-parsare, medan uppslagsversionen är användbar i allmänna frågor. När en funktion för berikande sökning måste returnera mer än ett värde använder den alltid matchningsformatet.
Mer information om skalära och tabellfunktioner (som representeras av uppslags- och lösningsversionerna här) finns i Användardefinierade funktioner i Kusto-dokumentationen.
Funktioner för uppslagstyp
| Funktion | Inmatning* | Output | beskrivning |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerisk DNS-frågetypkod | Namn på frågetyp | Översätta en numerisk RR-typ (DNS-resurspost) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupDnsResponseCode | Numerisk DNS-svarskod | Namn på svarskod | Översätta en numerisk DNS-svarskod (RCODE) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupICMPType | Numerisk ICMP-typ | ICMP-typnamn | Översätta en numerisk ICMP-typ till dess namn, enligt definitionen i IANA |
| _ASIM_LookupNetworkProtocol | IP-protokollnumret | IP-protokollnamn | Översätta en numerisk IP-protokollkod till dess namn enligt definitionen i IANA |
| _ASIM_LookupHTTPStatusCode | HTTP-statuskod | HTTP-statuskodnamn | Översätt en numerisk HTTP-statuskod till dess namn enligt definitionen i IANA. Stöder även utökade statuskoder som används av IIS och andra webbservrar. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-felkod | Felkategori | Översätt en Microsoft Entra ID STS-felkod till dess felkategori, till exempel Logon violates policy eller No such user or password. |
Lösa typfunktioner
Funktionerna för matchningsformat utför samma åtgärd som deras uppslagsmotsvarighet, men accepterar ett fältnamn, som tillhandahålls som en strängkonstant, som indata och konfigurerar fördefinierade fält som utdata. Indatavärdet tilldelas också till ett fördefinierat fält.
| Funktion | Utökade fält |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType för indatavärdet- DnsQueryTypeName för utdatavärdet |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode för indatavärdet- DnsResponseCodeName för utdatavärdet |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode för indatavärdet- NetworkIcmpType för uppslagsvärdet |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber för indatavärdet- NetworkProtocol för uppslagsvärdet |
Hjälpfunktioner för parser
Följande funktioner utför uppgifter som är vanliga i parsers och som är användbara för att påskynda parsningsutvecklingen.
Funktioner för enhetsupplösning
Funktionerna för enhetsmatchning analyserar ett värdnamn och avgör om det har domäninformation och typen av domän notation. Funktionerna fyller sedan i relevanta ASIM-fält som representerar en enhet. Alla funktioner är lös typfunktioner och accepterar namnet på fältet som innehåller värdnamnet, som representeras som en sträng, som indata.
| Funktion | Utökade fält | beskrivning |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyserar värdet i det angivna fältet och anger utdatafälten därefter. Mer information finns i exemplet i artikeln om att utveckla parsers. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dvc |
Funktioner för användartyp
Funktionerna för användartyp hjälper till att fastställa typen av användare baserat på användarnamnsmönster eller säkerhetsidentifierare (SID).
| Funktion | Input | Output | beskrivning |
|---|---|---|---|
| _ASIM_GetUsernameType | Användarnamnssträng | Användarnamnstyp | Returnerar användarnamnstypen baserat på användarnamnets format. Möjliga värden är UPN (för e-postliknande användarnamn), Windows (för domän\användarformat), DN (för unika namn), Simpleeller tomma om användarnamnet är tomt. |
| _ASIM_GetWindowsUserType | Användarnamnssträng, SID-sträng | Användartyp | Returnerar användartypen för Windows-system baserat på användarnamnet och säkerhetsidentifieraren (SID). Möjliga värden är Admin, Guest, Service, Machine, System, Anonymous, Regulareller Other. |
| _ASIM_GetUserType | Användarnamnssträng, SID-sträng | Användartyp | Deprecated. Använd _ASIM_GetWindowsUserType i stället. Anger UserType i Windows-system baserat på användarnamnet och SID. |
Funktioner för källidentifiering
Funktionen _ASIM_GetSourceBySourceType hämtar listan över källor som är associerade med en källtyp som anges som indata från bevakningslistan SourceBySourceType . Funktionen är avsedd att användas av parserskrivare. Mer information finns i Filtrera efter källtyp med hjälp av en bevakningslista.
Funktionen _ASIM_GetDisabledParsers läser bevakningslistan ASimDisabledParsers och avgör baserat på om parsern som tillhandahålls som parameter är inaktiverad. Den här funktionen används internt av ASIM-parsare för att stödja inaktivering av specifika parsare.
Visningslistefunktioner
Bevakningslistefunktionerna tillhandahåller optimerade metoder för att läsa visningslistor i ASIM-parsare.
| Funktion | Input | Output | beskrivning |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Visningslistealias (sträng), valfria nycklar (dynamisk matris) | Visningslisteobjekt | Läser en enda visningslista i raw-format. Mer högpresterande än den allmänna _GetWatchlist funktionen. |
| _ASIM_GetWatchlistsRaw | Överlista alias (dynamisk matris), valfria nycklar (dynamisk matris) | Visningslisteobjekt | Läser flera visningslistor i raw-format. Det primära användningsfallet är ett alternativ för att använda flera visningslistenamn för samma visningslista. |
Funktioner för identitetsberikning
Funktioner för identitetsberikning hjälper dig att utöka dina data med användarinformation från UEBA IdentityInfo-tabellen.
| Funktion | Input | Output | beskrivning |
|---|---|---|---|
| _ASIM_IdentityInfo | None | Normaliserad IdentityInfo-tabell | Deduplicerar och normaliserar tabellen IdentityInfo för att förbättra dess användbarhet i frågor. Returnerar en deduplicerad tabell med ASIM-normaliserade fältnamn. |
| _ASIM_Enrich_IdentityInfo | Indatatabell, fältnamnsparametrar | Berikad tabell | Utökar resultatuppsättningen med användarinformation från tabellen IdentityInfo. Använd parametrarna för att ange vilket fält som ska användas för matchning: AadIdField, TenantIdField, SidField, UpnFieldeller EmailField. |
Nästa steg
I den här artikeln beskrivs asim-hjälpfunktionerna (Advanced Security Information Model).
Mer information finns i:
- Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parsare och normaliserat innehåll eller granska bilderna
- Översikt över Advanced Security Information Model (ASIM)
- ASIM-scheman (Advanced Security Information Model)
- Asim-parsers (Advanced Security Information Model)
- Använda ASIM (Advanced Security Information Model)
- Ändra Microsoft Sentinel-innehåll till att använda ASIM-parsarna (Advanced Security Information Model)