Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
ASIM (Advanced Security Information Model) -apufunktiot laajentavat KQL-kieltä tarjoten toimintoja, jotka auttavat vuorovaikutuksessa normalisoitujen tietojen kanssa ja jäsentäjien kirjoittamisessa.
Enrichment-hakufunktiot
Enrichment-hakufunktiot tarjoavat helpon menetelmän tunnettujen arvojen etsimiseen niiden numeerisen esityksen perusteella. Tällaiset funktiot ovat hyödyllisiä, koska tapahtumat käyttävät usein lyhyttä lomakkeen numeerista koodia, kun taas käyttäjät suosivat tekstimuotoa. Useimmilla funktioilla on kaksi muotoa:
Hakuversio on skalaarifunktio, joka hyväksyy syötteeksi numeerisen koodin ja palauttaa tekstimuodon.
Käytä hakuversion kanssa seuraavaa KQL-katkelma:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Resolve-versio on taulukkomuotoinen funktio, joka:
- Käytetään KQL-putkioperaattorina.
- Hyväksyy syötteeksi sen kentän nimen, joka sisältää etsittävän arvon.
- Asettaa ASIM-kentät, jotka yleensä sisältävät sekä syötearvon että tulokseksi saatavan hakuarvon.
Käytä selvitysversion kanssa seuraavaa KQL-katkelma:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funktio täyttää asim-kenttään automaattisesti haun tuloksen.
Ratkaisuversio on suositeltavissa ASIM-jäsennyksissä, kun taas hakuversio on hyödyllinen yleiskäyttökyselyissä. Kun täydennyshakufunktion on palautettava useampi kuin yksi arvo, se käyttää aina resolve-muotoa.
Lisätietoja skalaarifunktioista ja taulukkomuotoisista funktioista (joita edustaa haku- ja ratkaisuversiot tässä) on Kusto-dokumentaation kohdassa Käyttäjän määrittämät funktiot .
Hakutyyppifunktiot
| Toiminto | Syöttää* | Lähtö | Kuvaus |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numeerinen DNS-kyselytyypin koodi | Kyselytyypin nimi | Käännä numeerinen DNS-resurssitietue (RR) -tyyppi sen nimeen IANAn määrittämällä tavalla |
| _ASIM_LookupDnsResponseCode | Numeerinen DNS-vastauskoodi | Vastauskoodin nimi | Käännä numeerinen DNS-vastauskoodi (RCODE) sen nimeen IANAn määrittämällä tavalla |
| _ASIM_LookupICMPType | Numeerinen ICMP-tyyppi | ICMP-tyypin nimi | Käännä numeerinen ICMP-tyyppi nimelleen IANAn määrittämällä tavalla |
| _ASIM_LookupNetworkProtocol | IP-protokollan numero | IP-protokollan nimi | Käännä numeerinen IP-protokollakoodi sen nimeen IANAn määrittämällä tavalla |
| _ASIM_LookupHTTPStatusCode | HTTP-tilakoodi | HTTP-tilakoodin nimi | Käännä numeerinen HTTP-tilakoodi sen nimeen IANAn määrittämällä tavalla. Tukee myös IIS:n ja muiden verkkopalvelimien käyttämiä laajennettuja tilakoodeja. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-virhekoodi | Virheluokka | Käännä Microsoft Entra ID STS-virhekoodi sen virheluokkaan, kuten Logon violates policy tai No such user or password. |
Ratkaise tyyppifunktiot
Resolve Format -funktiot suorittavat saman toiminnon kuin hakuvastaava, mutta hyväksyvät merkkijonovakiona annetun kentän nimen syötteenä ja määrittävät valmiiksi määritetyt kentät tulosteena. Syötearvo määritetään myös esimääritetylle kentälle.
| Toiminto | Laajennetut kentät |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType syötearvon osalta- DnsQueryTypeName tulostearvolle |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode syötearvon osalta- DnsResponseCodeName tulostearvolle |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode syötearvon osalta- NetworkIcmpType hakuarvoa varten |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber syötearvon osalta- NetworkProtocol hakuarvoa varten |
Jäsennysapufunktiot
Seuraavat funktiot suorittavat jäsennyksessä yleisiä tehtäviä, jotka ovat hyödyllisiä jäsennyskehityksen nopeuttamiseksi.
Laitteen tarkkuusfunktiot
Laitteen tarkkuusfunktiot analysoivat isäntänimen ja määrittävät, onko sillä toimialuetietoja ja toimialueen merkintätapatyyppi. Funktiot täyttävät sitten laitetta edustavat olennaiset ASIM-kentät. Kaikki funktiot ovat ratkaisutyyppifunktioita, ja ne hyväksyvät syötteenä isäntänimen sisältävän kentän nimen merkkijonona esitettynä.
| Toiminto | Laajennetut kentät | Kuvaus |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analysoi määritetyn kentän arvon ja määrittää tulostekentät vastaavasti. Lisätietoja on jäsentimien kehittämistä koskevien artikkelien esimerkissä . |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNKuten , mutta määrittää Src kentät |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNKuten , mutta määrittää Dst kentät |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNKuten , mutta määrittää Dvc kentät |
Käyttäjätyyppifunktiot
Käyttäjätyyppifunktiot auttavat määrittämään käyttäjän tyypin käyttäjänimikuvioiden tai suojaustunnusten (SID) perusteella.
| Toiminto | Syöttää | Lähtö | Kuvaus |
|---|---|---|---|
| _ASIM_GetUsernameType | Käyttäjänimen merkkijono | Käyttäjänimen tyyppi | Palauttaa käyttäjänimen tyypin käyttäjänimen muodon perusteella. Mahdollisia arvoja ovat UPN (sähköpostin kaltaisten käyttäjänimien kohdalla), Windows (toimialue\käyttäjämuoto), DN (DN-nimille), Simpletai tyhjä, jos käyttäjänimi on tyhjä. |
| _ASIM_GetWindowsUserType | Käyttäjänimimerkkijono, SID-merkkijono | Käyttäjätyyppi | Palauttaa Windows-järjestelmien käyttäjätyypin käyttäjänimen ja suojaustunnuksen (SID) perusteella. Mahdollisia arvoja ovat Admin, , Guest, MachineService, , System, Anonymous, Regulartai Other. |
| _ASIM_GetUserType | Käyttäjänimimerkkijono, SID-merkkijono | Käyttäjätyyppi | Vanhentunut. Käytä _ASIM_GetWindowsUserType sen sijaan. Määrittää UserType-arvon Windows-järjestelmissä käyttäjänimen ja SID:n perusteella. |
Lähteen tunnistusfunktiot
_ASIM_GetSourceBySourceType-funktio noutaa syötteenä annettuun lähdetyyppiin liittyvien lähteiden luettelon KatseluluettelostaSourceBySourceType. Funktio on tarkoitettu jäsentäjien kirjoittajien käytettäväksi. Lisätietoja on artikkelissa Suodattaminen lähdetyypin mukaan katseluluettelon avulla.
_ASIM_GetDisabledParsers-funktio lukee katseluluettelon ASimDisabledParsers ja määrittää sen perusteella, onko parametrina annettu jäsennin poistettu käytöstä. ASIM-jäsentimet käyttävät tätä funktiota sisäisesti tiettyjen jäsennysten poistamiseen käytöstä.
Katseluluettelofunktiot
Katseluluettelofunktiot tarjoavat optimoidut menetelmät katseluluetteloiden lukemiseen ASIM-jäsennyksissä.
| Toiminto | Syöttää | Lähtö | Kuvaus |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Katseluluettelon alias (merkkijono), valinnaiset avaimet (dynaaminen matriisi) | Katseluluettelon kohteet | Lukee yksittäisen katseluluettelon raakamuodossa. Suorituskykyisempi kuin yleinen _GetWatchlist funktio. |
| _ASIM_GetWatchlistsRaw | Katseluluettelon tunnukset (dynaaminen matriisi), valinnaiset avaimet (dynaaminen matriisi) | Katseluluettelon kohteet | Lukee useita katseluluetteloita raakamuodossa. Ensisijainen käyttötapaus on vaihtoehto useiden katseluluetteloiden nimien käyttämiseen samalle katseluluettelolle. |
Käyttäjätietojen täydennysfunktiot
Käyttäjätietojen rikastusfunktiot auttavat täydentämään tietojasi UEBA IdentityInfo -taulukon käyttäjätiedoilla.
| Toiminto | Syöttää | Lähtö | Kuvaus |
|---|---|---|---|
| _ASIM_IdentityInfo | Ei mitään | Normalisoitu IdentityInfo-taulukko | Laajentaa ja normalisoi IdentityInfo-taulukon ja parantaa sen käytettävyyttä kyselyissä. Palauttaa deduplicated-taulukon, jossa on ASIM-normalisoidut kenttien nimet. |
| _ASIM_Enrich_IdentityInfo | Syötetaulukon, kentän nimen parametrit | Täydennetty taulukko | Täydentää tulosjoukkoa IdentityInfo-taulukon käyttäjätiedoilla. Parametrien avulla voit määrittää, mitä kenttää käytetään vastaavuuksien hakemiseen: AadIdField, TenantIdField, SidField, UpnFieldtai EmailField. |
Seuraavat vaiheet
Tässä artikkelissa käsitellään ASIM(Advanced Security Information Model) -ohjefunktioita.
Lisätietoja on seuraavissa artikkeleissa:
- Katso syväsukellus-verkkoseminaari Microsoft Sentinel Jäsennysten ja normalisoidun sisällön normalisointi tai tarkista diat
- Asim-mallin (Advanced Security Information Model) yleiskatsaus
- ASIM(Advanced Security Information Model) -rakenteet
- ASIM (Advanced Security Information Model) -jäsentimet
- Kehittyneen suojaustietomallin (ASIM) käyttäminen
- Microsoft Sentinel sisällön muokkaaminen käyttämään ASIM(Advanced Security Information Model) -jäsennystä