Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) yardımcı işlevleri, normalleştirilmiş verilerle ve yazma ayrıştırıcılarıyla etkileşime yardımcı olan işlevler sağlayarak KQL dilini genişletir.
Zenginleştirme arama işlevleri
Zenginleştirme arama işlevleri, sayısal gösterimlerine göre bilinen değerleri aramak için kolay bir yöntem sağlar. Olaylar genellikle kısa biçimli sayısal kodu kullandığından, kullanıcılar metin biçimini tercih ederken bu tür işlevler yararlıdır. İşlevlerin çoğunun iki biçimi vardır:
Arama sürümü, sayısal kodu girdi olarak kabul eden ve metin biçimini döndüren bir skaler işlevdir.
Arama sürümüyle aşağıdaki KQL kod parçacığını kullanın:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Çözüm sürümü, aşağıdaki tablosal bir işlevdir:
- KQL işlem hattı işleci olarak kullanılır.
- Arama için değeri tutan alanın adını giriş olarak kabul eder.
- ASIM alanlarını genellikle hem giriş değerini hem de sonuçta elde edilen arama değerini tutarak ayarlar.
Çözüm sürümüyle aşağıdaki KQL kod parçacığını kullanın:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)İşlev, ASIM alanını aramanın sonucuyla otomatik olarak doldurur.
Çözümle sürümü ASIM ayrıştırıcılarında kullanılmak üzere tercih edilirken, arama sürümü genel amaçlı sorgularda kullanışlıdır. Zenginleştirme arama işlevinin birden fazla değer döndürmesi gerektiğinde, her zaman çözümleme biçimini kullanır.
Skaler ve tablosal işlevler hakkında daha fazla bilgi için (sırasıyla burada arama ve çözüm sürümleriyle gösterilir), Kusto belgelerindeki Kullanıcı tanımlı işlevler bölümüne bakın.
Arama türü işlevleri
| İşlev | Girdi* | Çıktı | Açıklama |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Sayısal DNS sorgu türü kodu | Sorgu türü adı | Sayısal DNS kaynak kaydı (RR) türünü, IANA tarafından tanımlandığı gibi adına çevirin |
| _ASIM_LookupDnsResponseCode | Sayısal DNS yanıt kodu | Yanıt kodu adı | Sayısal bir DNS yanıt kodunu (RCODE) IANA tarafından tanımlandığı şekilde adına çevirin |
| _ASIM_LookupICMPType | Sayısal ICMP türü | ICMP tür adı | Sayısal bir ICMP türünü, IANA tarafından tanımlandığı şekilde adına çevirme |
| _ASIM_LookupNetworkProtocol | IP protokol numarası | IP protokolü adı | IANA tarafından tanımlanan sayısal IP protokolü kodunu adına çevirme |
| _ASIM_LookupHTTPStatusCode | HTTP durum kodu | HTTP durum kodu adı | Sayısal bir HTTP durum kodunu IANA tarafından tanımlandığı gibi adına çevirin. Ayrıca IIS ve diğer web sunucuları tarafından kullanılan genişletilmiş durum kodlarını destekler. |
| _ASIM_LookupAADcodes | Microsoft Entra Id STS hata kodu | Hata kategorisi | Microsoft Entra Id STS hata kodunu veya No such user or passwordgibi hata kategorisine çevirinLogon violates policy. |
Tür işlevlerini çözümleme
Çözümleme biçimi işlevleri, arama karşılık gelenleriyle aynı eylemi gerçekleştirir, ancak dize sabiti olarak sağlanan bir alan adını giriş olarak kabul eder ve önceden tanımlanmış alanları çıkış olarak ayarlar. Giriş değeri önceden tanımlanmış bir alana da atanır.
| İşlev | Genişletilmiş alanlar |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType giriş değeri için- DnsQueryTypeName çıkış değeri için |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode giriş değeri için- DnsResponseCodeName çıkış değeri için |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode giriş değeri için- NetworkIcmpType arama değeri için |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber giriş değeri için- NetworkProtocol arama değeri için |
Ayrıştırıcı yardımcı işlevleri
Aşağıdaki işlevler ayrıştırıcılarda ortak olan ve ayrıştırıcı geliştirmesini hızlandırmak için yararlı olan görevleri gerçekleştirir.
Cihaz çözümleme işlevleri
Cihaz çözümleme işlevleri bir konak adını analiz eder ve etki alanı bilgilerine ve etki alanı gösteriminin türüne sahip olup olmadığını belirler. İşlevler daha sonra bir cihazı temsil eden ilgili ASIM alanlarını doldurur. Tüm işlevler tür işlevlerini çözümler ve giriş olarak dize olarak temsil edilen konak adını içeren alanın adını kabul edin.
| İşlev | Genişletilmiş alanlar | Açıklama |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Belirtilen alandaki değeri analiz eder ve çıkış alanlarını buna göre ayarlar. Daha fazla bilgi için ayrıştırıcı geliştirme hakkındaki makalenin örneğine bakın. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dvc |
Kullanıcı türü işlevleri
Kullanıcı türü işlevleri, kullanıcı adı desenlerine veya güvenlik tanımlayıcılarına (SID) göre kullanıcı türünü belirlemeye yardımcı olur.
| İşlev | Veri Girişi | Çıktı | Açıklama |
|---|---|---|---|
| _ASIM_GetUsernameType | Kullanıcı adı dizesi | Kullanıcı adı türü | Kullanıcı adı türünü, kullanıcı adının biçimine göre döndürür. Olası değerler şunlardır UPN : (e-posta benzeri kullanıcı adları için), Windows (etki alanı\kullanıcı biçimi için), DN (ayırt edici adlar için) Simpleveya kullanıcı adı boşsa boş. |
| _ASIM_GetWindowsUserType | Kullanıcı adı dizesi, SID dizesi | Kullanıcı türü | Kullanıcı adı ve güvenlik tanımlayıcısı (SID) temelinde Windows sistemleri için kullanıcı türünü döndürür. Olası değerler , , , , , , System, Anonymousveya RegularOtherdeğerlerini içerirAdmin. MachineServiceGuest |
| _ASIM_GetUserType | Kullanıcı adı dizesi, SID dizesi | Kullanıcı türü | Deprecated. Bunun yerine _ASIM_GetWindowsUserType kullanın. Windows sistemlerinde UserType değerini kullanıcı adına ve SID'ye göre ayarlar. |
Kaynak tanımlama işlevleri
_ASIM_GetSourceBySourceType işlevi, İzleme Listesi'nden SourceBySourceType giriş olarak sağlanan bir kaynak türüyle ilişkili kaynakların listesini alır. işlevi ayrıştırıcı yazarları tarafından kullanılmak üzere tasarlanmıştır. Daha fazla bilgi için bkz . İzleme Listesi kullanarak kaynak türüne göre filtreleme.
_ASIM_GetDisabledParsers işlevi izleme listesini okur ASimDisabledParsers ve parametre olarak sağlanan ayrıştırıcının devre dışı bırakılıp bırakılmadığını buna göre belirler. Bu işlev, ASIM ayrıştırıcıları tarafından belirli ayrıştırıcıların devre dışı bırakılması için dahili olarak kullanılır.
İzleme listesi işlevleri
İzleme listesi işlevleri ASIM ayrıştırıcılarında izleme listelerini okumak için iyileştirilmiş yöntemler sağlar.
| İşlev | Veri Girişi | Çıktı | Açıklama |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | İzleme listesi diğer adı (dize), isteğe bağlı anahtarlar (dinamik dizi) | İzleme listesi öğeleri | Ham biçimde tek bir izleme listesini okur. Genel _GetWatchlist işlevden daha yüksek performanslı. |
| _ASIM_GetWatchlistsRaw | İzleme listesi diğer adları (dinamik dizi), isteğe bağlı anahtarlar (dinamik dizi) | İzleme listesi öğeleri | Ham biçimde birden çok izleme listesini okur. Birincil kullanım örneği, aynı izleme listesi için birden çok izleme listesi adı kullanmak için bir seçenek sağlar. |
Kimlik zenginleştirme işlevleri
Kimlik zenginleştirme işlevleri, UEBA IdentityInfo tablosundaki kullanıcı bilgileriyle verilerinizi zenginleştirmeye yardımcı olur.
| İşlev | Veri Girişi | Çıktı | Açıklama |
|---|---|---|---|
| _ASIM_IdentityInfo | Hiç kimse | Normalleştirilmiş IdentityInfo tablosu | Sorgulardaki kullanılabilirliğini geliştirmek için IdentityInfo tablosunu yinelenenleri kaldırıp normalleştirir. ASIM normalleştirilmiş alan adlarıyla yinelenenleri kaldırılmış bir tablo döndürür. |
| _ASIM_Enrich_IdentityInfo | Giriş tablosu, alan adı parametreleri | Zenginleştirilmiş tablo |
IdentityInfo tablosundaki kullanıcı bilgileriyle sonuç kümenizi zenginleştirir. Eşleştirme için hangi alanın kullanılacağını belirtmek için parametrelerini kullanın: AadIdField, TenantIdField, SidField, UpnFieldveya EmailField. |
Sonraki adımlar
Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) yardım işlevleri ele alınmaktadır.
Daha fazla bilgi için bkz.
- Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) kullanma
- Microsoft Sentinel içeriğini Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını kullanacak şekilde değiştirme