Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) yardımcı işlevleri, normalleştirilmiş verilerle ve yazma ayrıştırıcılarıyla etkileşime yardımcı olan işlevler sağlayarak KQL dilini genişletir.
Zenginleştirme arama işlevleri
Zenginleştirme arama işlevleri, sayısal gösterimlerine göre bilinen değerleri aramak için kolay bir yöntem sağlar. Olaylar genellikle kısa biçimli sayısal kodu kullandığından, kullanıcılar metin biçimini tercih ederken bu tür işlevler yararlıdır. İşlevlerin çoğunun iki biçimi vardır:
Arama sürümü, sayısal kodu girdi olarak kabul eden ve metin biçimini döndüren skaler bir işlevdir.
Arama sürümüyle aşağıdaki KQL parçacığını kullanın:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Çözüm sürümü, şu sekmeli bir işlevdir:
- KQL işlem hattı işleci olarak kullanılır.
- Arama için değeri tutan alanın adını giriş olarak kabul eder.
- Hem giriş değerini hem de sonuçta elde edilen arama değerini tutan ASIM alanlarını ayarlar.
Çözüm sürümüyle aşağıdaki KQL parçacığını kullanın:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)İşlev, ASIM alanını arama sonucuyla otomatik olarak doldurur.
Çözüm sürümü ASIM ayrıştırıcılarında kullanılmak üzere tercih edilirken, arama sürümü genel amaçlı sorgularda kullanışlıdır. Zenginleştirme arama işlevinin birden fazla değer döndürmesi gerektiğinde, her zaman çözüm biçimini kullanır.
Skaler ve tablosal işlevler hakkında daha fazla bilgi için (sırasıyla burada arama ve çözüm sürümleriyle temsil edilir), Kusto belgelerindeki Kullanıcı tanımlı işlevler bölümüne bakın.
Arama türü işlevleri
| İşlev | Giriş* | Çıkış | Açıklama |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Sayısal DNS sorgu türü kodu | Sorgu türü adı | IANA tarafından tanımlanan sayısal dns kaynak kaydı (RR) türünü adına çevirme |
| _ASIM_LookupDnsResponseCode | Sayısal DNS yanıt kodu | Yanıt kodu adı | IANA tarafından tanımlanan sayısal DNS yanıt kodunu (RCODE) adına çevirme |
| _ASIM_LookupICMPType | Sayısal ICMP türü | ICMP tür adı | IANA tarafından tanımlanan sayısal ICMP türünü adına çevirme |
| _ASIM_LookupNetworkProtocol | IP protokol numarası | IP protokolü adı | IANA tarafından tanımlanan sayısal IP protokolü kodunu adına çevirme |
| _ASIM_LookupHTTPStatusCode | HTTP durum kodu | HTTP durum kodu adı | IANA tarafından tanımlanan sayısal bir HTTP durum kodunu adına çevirin. Ayrıca IIS ve diğer web sunucuları tarafından kullanılan genişletilmiş durum kodlarını destekler. |
| _ASIM_LookupAADcodes | STS hata kodunu Microsoft Entra ID | Hata kategorisi | Microsoft Entra ID STS hata kodunu veya No such user or passwordgibi hata kategorisine çevirinLogon violates policy. |
Tür işlevlerini çözümleme
Çözümleme biçimi işlevleri, arama karşılık gelenleriyle aynı eylemi gerçekleştirir, ancak dize sabiti olarak sağlanan bir alan adını giriş olarak kabul eder ve önceden tanımlanmış alanları çıkış olarak ayarlar. Giriş değeri önceden tanımlanmış bir alana da atanır.
| İşlev | Genişletilmiş alanlar |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType giriş değeri için- DnsQueryTypeName çıkış değeri için |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode giriş değeri için- DnsResponseCodeName çıkış değeri için |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode giriş değeri için- NetworkIcmpType arama değeri için |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber giriş değeri için- NetworkProtocol arama değeri için |
Ayrıştırıcı yardımcı işlevleri
Aşağıdaki işlevler ayrıştırıcılarda ortak olan ve ayrıştırıcı geliştirmeyi hızlandırmak için yararlı olan görevleri gerçekleştirir.
Cihaz çözümleme işlevleri
Cihaz çözümleme işlevleri bir konak adını analiz eder ve etki alanı bilgilerine ve etki alanı gösteriminin türüne sahip olup olmadığını belirler. İşlevler daha sonra bir cihazı temsil eden ilgili ASIM alanlarını doldurur. Tüm işlevler tür işlevlerini çözümler ve giriş olarak dize olarak temsil edilen konak adını içeren alanın adını kabul edin.
| İşlev | Genişletilmiş alanlar | Açıklama |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Belirtilen alandaki değeri analiz eder ve çıkış alanlarını buna göre ayarlar. Daha fazla bilgi için ayrıştırıcı geliştirme hakkındaki makalenin örneğine bakın. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dvc |
Kullanıcı türü işlevleri
Kullanıcı türü işlevleri, kullanıcı adı desenlerine veya güvenlik tanımlayıcılarına (SID) göre kullanıcı türünü belirlemeye yardımcı olur.
| İşlev | Giriş | Çıkış | Açıklama |
|---|---|---|---|
| _ASIM_GetUsernameType | Kullanıcı adı dizesi | Kullanıcı adı türü | Kullanıcı adı biçimini temel alan kullanıcı adı türünü döndürür. Olası değerler arasında UPN (e-posta benzeri kullanıcı adları için), Windows (etki alanı\kullanıcı biçimi için), DN (ayırt edici adlar için) Simpleveya kullanıcı adı boşsa boş değerler bulunur. |
| _ASIM_GetWindowsUserType | Kullanıcı adı dizesi, SID dizesi | Kullanıcı türü | Kullanıcı adı ve güvenlik tanımlayıcısı (SID) temelinde Windows sistemleri için kullanıcı türünü döndürür. Olası değerler , , , , , , , AnonymousRegularveya Otherdeğerlerini içerirAdmin. SystemMachineServiceGuest |
| _ASIM_GetUserType | Kullanıcı adı dizesi, SID dizesi | Kullanıcı türü | Kaldırıl -mış. Bunun yerine kullanın _ASIM_GetWindowsUserType . Windows sistemlerinde UserType değerini kullanıcı adına ve SID'ye göre ayarlar. |
Kaynak tanımlama işlevleri
_ASIM_GetSourceBySourceType işlevi, İzleme Listesi'nden SourceBySourceType giriş olarak sağlanan bir kaynak türüyle ilişkili kaynakların listesini alır. işlevi ayrıştırıcı yazarları tarafından kullanılmak üzere tasarlanmıştır. Daha fazla bilgi için bkz . İzleme Listesi kullanarak kaynak türüne göre filtreleme.
_ASIM_GetDisabledParsers işlevi izleme listesini okur ASimDisabledParsers ve parametre olarak sağlanan ayrıştırıcının devre dışı bırakılıp bırakılmadığını buna göre belirler. Bu işlev, ASIM ayrıştırıcıları tarafından belirli ayrıştırıcıların devre dışı bırakılması için dahili olarak kullanılır.
İzleme listesi işlevleri
İzleme listesi işlevleri ASIM ayrıştırıcılarında izleme listelerini okumak için iyileştirilmiş yöntemler sağlar.
| İşlev | Giriş | Çıkış | Açıklama |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | İzleme listesi diğer adı (dize), isteğe bağlı anahtarlar (dinamik dizi) | İzleme listesi öğeleri | Ham biçimde tek bir izleme listesini okur. Genel _GetWatchlist işlevden daha yüksek performanslı. |
| _ASIM_GetWatchlistsRaw | İzleme listesi diğer adları (dinamik dizi), isteğe bağlı anahtarlar (dinamik dizi) | İzleme listesi öğeleri | Ham biçimde birden çok izleme listesini okur. Birincil kullanım örneği, aynı izleme listesi için birden çok izleme listesi adı kullanma seçeneği sağlar. |
Kimlik zenginleştirme işlevleri
Kimlik zenginleştirme işlevleri, UEBA IdentityInfo tablosundaki kullanıcı bilgileriyle verilerinizi zenginleştirmeye yardımcı olur.
| İşlev | Giriş | Çıkış | Açıklama |
|---|---|---|---|
| _ASIM_IdentityInfo | Yok | Normalleştirilmiş IdentityInfo tablosu | IdentityInfo tablosunun sorgulardaki kullanılabilirliğini artırmak için yinelenenleri kaldırın ve normalleştirir. ASIM normalleştirilmiş alan adlarıyla yinelenenleri kaldırılmış bir tablo döndürür. |
| _ASIM_Enrich_IdentityInfo | Giriş tablosu, alan adı parametreleri | Zenginleştirilmiş tablo |
IdentityInfo tablosundaki kullanıcı bilgileriyle sonuç kümenizi zenginleştirir. Eşleşen için hangi alanın kullanılacağını belirtmek için parametrelerini kullanın: AadIdField, TenantIdField, SidField, UpnFieldveya EmailField. |
Sonraki adımlar
Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) yardım işlevleri ele alınmaktadır.
Daha fazla bilgi için bkz.:
- Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme Microsoft Sentinel Ayrıntılı Bakış Web Seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgi Modelini (ASIM) Kullanma
- gelişmiş güvenlik bilgi modeli (ASIM) ayrıştırıcılarını kullanmak için Microsoft Sentinel içeriği değiştirme