進階安全性資訊模型 (ASIM) 協助程式函式會擴充 KQL 語言,以提供可協助與標準化數據和撰寫剖析器互動的功能。
擴充查閱函式
擴充查閱函式會根據其數值表示法,提供查閱已知值的簡單方法。 這類函式很實用,因為事件通常會使用簡短格式的數值程式代碼,而使用者偏好使用文字形式。 大部分的函式都有兩種形式:
查閱版本是純量函式,可接受數值程式代碼的輸入,並傳回文字形式。
使用下列 KQL 代碼段搭配 查閱 版本:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)解析版本是表格式函式,可:
- 做為 KQL 管線運算子。
- 接受 作為輸入,保留要查閱值的功能變數名稱。
- 設定 ASIM 欄位通常同時保留輸入值和產生的查閱值。
使用下列 KQL 代碼段搭配 解析 版本:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)函式會自動將查閱結果填入 ASIM 欄位。
解析版本最好用於 ASIM 剖析器,而查閱版本在一般用途查詢中很有用。 當擴充查閱函式必須傳回一個以上的值時,它一律會使用 解析 格式。
如需純量和表格式函式的詳細資訊(分別以查閱和解析版本表示),請參閱 Kusto 檔中的使用者定義函 式。
查閱類型函式
| 函式 | 輸入* | 輸出 | 描述 |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | 數值 DNS 查詢類型代碼 | 查詢類型名稱 | 將數值 DNS 資源記錄 (RR) 類型轉譯為其名稱,如 IANA 所 定義 |
| _ASIM_LookupDnsResponseCode | 數值 DNS 回應碼 | 回應碼名稱 | 將數值 DNS 回應碼 (RCODE) 轉譯為其名稱,如 IANA 所 定義 |
| _ASIM_LookupICMPType | 數值ICMP類型 | ICMP 類型名稱 | 將數值ICMP類型轉譯為其名稱,如IANA所定義 |
| _ASIM_LookupNetworkProtocol | IP 通訊協定數字 | IP 通訊協定名稱 | 將數值IP通訊協定程式代碼轉譯為其名稱,如IANA所 定義 |
| _ASIM_LookupHTTPStatusCode | HTTP 狀態代碼 | HTTP 狀態代碼名稱 | 將 HTTP 狀態碼轉換為 IANA 定義的名稱。 也支援 IIS 及其他網頁伺服器使用的擴展狀態碼。 |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS 錯誤代碼 | 錯誤類別 | 將 Microsoft Entra ID STS 錯誤代碼轉換為其錯誤類別,例如 Logon violates policy 或 No such user or password。 |
解析類型函式
解析格式函式會執行與其查閱對應專案相同的動作,但接受功能變數名稱,提供做為字串常數,做為輸入,並將預先定義的欄位設定為輸出。 輸入值也會指派給預先定義的欄位。
| 函式 | 擴充欄位 |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType 輸入值- DnsQueryTypeName 針對輸出值 |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode 輸入值- DnsResponseCodeName 針對輸出值 |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode 輸入值- NetworkIcmpType 用於查閱值 |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber 輸入值- NetworkProtocol 用於查閱值 |
剖析器協助程式函式
下列函式會執行剖析器中常見的工作,並有助於加速剖析器開發。
裝置解析功能
裝置解析函式會分析主機名,並判斷其是否有網域資訊和網域表示法的類型。 函式接著會填入代表裝置的相關 ASIM 欄位。 所有函式都是解析類型函式,並接受包含主機名的功能變數名稱,以字串表示為輸入。
| 函式 | 擴充欄位 | 描述 |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
分析指定之欄位中的值,並據以設定輸出欄位。 如需詳細資訊,請參閱 開發剖析器一文中的範例 。 |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
類似於 _ASIM_ResolveFQDN,但會設定 Src 欄位 |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
類似於 _ASIM_ResolveFQDN,但會設定 Dst 欄位 |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
類似於 _ASIM_ResolveFQDN,但會設定 Dvc 欄位 |
使用者類型功能
使用者類型功能有助於根據使用者名稱模式或安全識別碼(SID)來判斷使用者類型。
| 函式 | Input | 輸出 | 描述 |
|---|---|---|---|
| _ASIM_GetUsernameType | 用戶名稱字串 | 使用者名稱類型 | 根據使用者名稱格式回傳使用者名稱類型。 可能的值包括 UPN (用於類似電子郵件的使用者名稱)、 Windows (用於網域/使用者格式)、 DN (用於特殊名稱)、 Simple或若使用者名稱為空,則為空。 |
| _ASIM_GetWindowsUserType | 使用者名稱字串,SID 字串 | 使用者類型 | 根據使用者名稱與安全識別碼(SID)回傳 Windows 系統的使用者類型。 可能的值包括 Admin、 Guest、 Service、 OtherMachineSystemAnonymousRegular或 。 |
| _ASIM_GetUserType | 使用者名稱字串,SID 字串 | 使用者類型 | Deprecated. 請改用 _ASIM_GetWindowsUserType。 在 Windows 系統中,根據使用者名稱和 SID 來設定使用者類型。 |
來源識別函式
_ASIM_GetSourceBySourceType函式會擷取與提供作為監看清單輸入SourceBySourceType的來源類型相關聯的來源清單。 函式供剖析器寫入器使用。 如需詳細資訊,請參閱 使用關注清單依來源類型進行篩選。
_ASIM_GetDisabledParsers 函式會ASimDisabledParsers讀取監視清單,並根據它判斷所提供的參數解析器是否被停用。 此函式由 ASIM 解析器內部使用,以支援停用特定解析器。
觀察清單功能
監視清單函式提供了在 ASIM 解析器中讀取觀察清單的最佳化方法。
| 函式 | Input | 輸出 | 描述 |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | 監視清單別名(字串)、可選鍵(動態陣列) | 觀察清單項目 | 讀取一個原始格式的單一監視清單。 效能比一般 _GetWatchlist 功能還高。 |
| _ASIM_GetWatchlistsRaw | 監視清單別名(動態陣列)、可選鍵(動態陣列) | 觀察清單項目 | 能以原始格式閱讀多個觀看清單。 主要的使用情境是提供一個選項,讓同一個監視清單名稱能同時使用多個。 |
身份豐富函數
身份豐富功能有助於用 UEBA IdentityInfo 表格中的使用者資訊豐富你的資料。
| 函式 | Input | 輸出 | 描述 |
|---|---|---|---|
| _ASIM_IdentityInfo | None | 正規化身份資訊表 | 去重並正規化 IdentityInfo 資料表 ,以提升其查詢時的可用性。 回傳一個已去重的資料表,欄位名稱為 ASIM 正規化。 |
| _ASIM_Enrich_IdentityInfo | 輸入表,欄位名稱參數 | 豐富表 | 透過 IdentityInfo 表格中的使用者資訊豐富您的結果集。 使用參數指定用於匹配的欄位:AadIdField、UpnFieldTenantIdFieldSidField或。EmailField |
下一步
本文討論進階安全性資訊模型 (ASIM) 說明函式。
如需詳細資訊,請參閱