進階安全性資訊模型 (ASIM) 協助程式函數 (公開預覽版)

進階安全性資訊模型 (ASIM) 協助程式函數會擴充 KQL 語言，以提供可協助與標準化資料互動和撰寫剖析器的功能。

擴充查閱函式

擴充查閱函式會根據其數值表示，提供簡單的查閱已知值方法。這類函式很實用，因為事件通常會使用簡短格式的數值程式碼，而使用者偏好文字形式。大部分函式都有兩種形式：

查閱版本是純量函式，可接受做為數值代碼的輸入，並傳回文字形式。搭配查閱版本使用下列 KQL 程式碼片段：

| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)

解析版本是表格式函式，可：

搭配解析版本使用下列 KQL 程式碼片段：

| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)

這會自動填入 [NetworkProtocol] 欄位，並顯示查閱的結果。

解析版本最好用於 ASIM 剖析器，而查閱版本在一般用途查詢中很有用。當擴充查閱函式必須傳回多個值時，它一律會使用解析格式。

函式	輸入*	輸出	描述
_ASIM_LookupDnsQueryType	數值 DNS 查詢類型代碼	查詢類型名稱	將數值 DNS 資源記錄 (RR) 類型轉譯為其名稱，如 IANA 所定義
_ASIM_LookupDnsResponseCode	數值 DNS 回應碼	回應碼名稱	將數值 DNS 回應碼 (RCODE) 轉譯為其名稱，如 IANA 所定義
_ASIM_LookupICMPType	數值 ICMP 類型	ICMP 類型名稱	將數值 ICMP 類型轉譯為其名稱，如IANA所定義
_ASIM_LookupNetworkProtocol	IP 通訊協定數字	IP 通訊協定名稱	將數值 IP 通訊協定程式碼轉譯為其名稱，如IANA所定義

解析格式函式會執行與其查閱對應專案相同的動作，但接受以字串常數形式提供的功能變數名稱，做為輸入，並將預先定義的欄位設定為輸出。輸入值也會指派給預先定義的欄位。

函式	擴充欄位
_ASIM_ResolveDnsQueryType	- `DnsQueryType` 輸入值的 - `DnsQueryTypeName` 輸出值的
_ASIM_ResolveDnsResponseCode	- `DnsResponseCode` 輸入值的 - `DnsResponseCodeName` 輸出值的
_ASIM_ResolveICMPType	- `NetworkIcmpCode` 輸入值的 - `NetworkIcmpType` 針對查閱值
_ASIM_ResolveNetworkProtocol	- `NetworkProtocolNumber` 輸入值的 - `NetworkProtocol` 針對查閱值

下列函式會執行剖析器中常見的工作，並有助於加速剖析器開發。

裝置解析函式會分析主機名稱，並判斷它是否有網域資訊和網域標記法的類型。函式接著會填入代表裝置的相關 ASIM 欄位。所有函式都是解析類型函式，並接受包含主機名稱的功能變數名稱，以字串表示做為輸入。

函式	擴充欄位	描述
_ASIM_ResolveFQDN	- `ExtractedHostname` - `Domain` - `DomainType` - `FQDN`	分析指定欄位中的值，並據以設定輸出欄位。如需詳細資訊，請參閱有關開發剖析器文章中的範例。
_ASIM_ResolveSrcFQDN	- `SrcHostname` - `SrcDomain` - `SrcDomainType` - `SrcFQDN`	`_ASIM_ResolveFQDN`類似于，但會設定 `Src` 欄位
_ASIM_ResolveDstFQDN	- `DstHostname` - `DstDomain` - `DstDomainType` - `SrcFQDN`	`_ASIM_ResolveFQDN`類似于，但會設定 `Dst` 欄位
_ASIM_ResolveDvcFQDN	- `DvcHostname` - `DvcDomain` - `DvcDomainType` - `DvcFQDN`	`_ASIM_ResolveFQDN`類似于，但會設定 `Dvc` 欄位

_ASIM_GetSourceBySourceType函式會擷 SourceBySourceType 取與作為監看清單輸入之來源類型相關聯的來源清單。函式適用于剖析器寫入器。如需詳細資訊，請參閱使用監看清單依來源類型篩選。

本文討論進階安全性資訊模型 (ASIM) 協助程式函數。

如需詳細資訊，請參閱