Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
ASIM-hjelpefunksjoner (Advanced Security Information Model) utvider KQL-språket og gir funksjonalitet som bidrar til å samhandle med normaliserte data og skriftlige analyser.
Oppslagsfunksjoner for berikelse
Oppslagsfunksjoner for berikelse gir en enkel metode for å slå opp kjente verdier, basert på deres numeriske representasjon. Slike funksjoner er nyttige ettersom hendelser ofte bruker den numeriske kortformkoden, mens brukere foretrekker tekstskjemaet. De fleste funksjonene har to former:
Oppslagsversjonen er en skalarfunksjon som godtar den numeriske koden og returnerer tekstformen.
Bruk følgende KQL-kodesnutt med oppslagsversjonen :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Løsningsversjonen er en tabellfunksjon som:
- Brukes som en KQL-rørledningsoperator.
- Godtar som inndata navnet på feltet som inneholder verdien som skal slås opp.
- Angir ASIM-feltene som vanligvis inneholder både inndataverdien og den resulterende oppslagsverdien.
Bruk følgende KQL-kodesnutt med løsningsversjonen :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funksjonen fyller automatisk ut ASIM-feltet med resultatet av oppslaget.
Løsningsversjonen foretrekkes for bruk i ASIM-analyser, mens oppslagsversjonen er nyttig i generelle spørringer. Når en oppslagsfunksjon for berikelse må returnere mer enn én verdi, vil den alltid bruke løs-formatet .
Hvis du vil ha mer informasjon om skalar- og tabellfunksjoner (representert av henholdsvis oppslags- og løsningsversjonene her), kan du se Brukerdefinerte funksjoner i Kusto-dokumentasjonen.
Oppslagstypefunksjoner
| Funksjonen | Input* | Utgang | Beskrivelse |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Kode for numerisk DNS-spørringstype | Navn på spørringstype | Oversett en numerisk DNS-ressursposttype (RR) til navnet, som definert av IANA |
| _ASIM_LookupDnsResponseCode | Numerisk DNS-svarkode | Navn på svarkode | Oversette en numerisk DNS-svarkode (RCODE) til navnet, som definert av IANA |
| _ASIM_LookupICMPType | Numerisk ICMP-type | ICMP-typenavn | Oversette en numerisk ICMP-type til navnet, som definert av IANA |
| _ASIM_LookupNetworkProtocol | IP-protokollnummer | IP-protokollnavn | Oversette en numerisk IP-protokollkode til navnet, som definert av IANA |
| _ASIM_LookupHTTPStatusCode | HTTP-statuskode | HTTP-statuskodenavn | Oversett en numerisk HTTP-statuskode til navnet, som definert av IANA. Støtter også utvidede statuskoder som brukes av IIS og andre webservere. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-feilkode | Feilkategori | Oversett en Microsoft Entra ID STS-feilkode til feilkategorien, for eksempel Logon violates policy eller No such user or password. |
Løs typefunksjoner
Funksjonene for løsing av format utfører samme handling som oppslagsmotparten, men godtar et feltnavn, angitt som en strengkonstant, som inndata og konfigurer forhåndsdefinerte felt som utdata. Inndataverdien tilordnes også til et forhåndsdefinert felt.
| Funksjonen | Utvidede felt |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType for inndataverdien- DnsQueryTypeName for utdataverdien |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode for inndataverdien- DnsResponseCodeName for utdataverdien |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode for inndataverdien- NetworkIcmpType for oppslagsverdien |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber for inndataverdien- NetworkProtocol for oppslagsverdien |
Analyser hjelpefunksjoner
Følgende funksjoner utfører oppgaver som er vanlige i analyser og nyttig for å akselerere analyseutvikling.
Funksjoner for enhetsoppløsning
Funksjonene for enhetsoppløsning analyserer et vertsnavn og fastslår om det har domeneinformasjon og typen domene-notasjon. Funksjonene fyller deretter ut de relevante ASIM-feltene som representerer en enhet. Alle funksjonene er løs typefunksjoner og godtar navnet på feltet som inneholder vertsnavnet, representert som en streng, som inndata.
| Funksjonen | Utvidede felt | Beskrivelse |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyserer verdien i det angitte feltet og angir utdatafeltene tilsvarende. Hvis du vil ha mer informasjon, kan du se eksemplet i artikkelen om utvikling av analyser. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNLigner på , men angir Src feltene |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNLigner på , men angir Dst feltene |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNLigner på , men angir Dvc feltene |
Brukertypefunksjoner
Brukertypefunksjonene bidrar til å bestemme hvilken type bruker som er basert på brukernavnmønstre eller sikkerhetsidentifikatorer (SIDer).
| Funksjonen | Input | Utgang | Beskrivelse |
|---|---|---|---|
| _ASIM_GetUsernameType | Brukernavnstreng | Brukernavntype | Returnerer brukernavntypen basert på formatet til brukernavnet. Mulige verdier inkluderer UPN (for e-postlignende brukernavn), Windows (for domene\brukerformat), DN (for unike navn) Simpleeller tom hvis brukernavnet er tomt. |
| _ASIM_GetWindowsUserType | Brukernavnstreng, SID-streng | Brukertype | Returnerer brukertypen for Windows-systemer basert på brukernavnet og sikkerhetsidentifikatoren (SID). Mulige verdier inkluderer Admin, , ServiceGuest, Machine, SystemAnonymous, eller RegularOther. |
| _ASIM_GetUserType | Brukernavnstreng, SID-streng | Brukertype | Avskrevet. Bruk _ASIM_GetWindowsUserType i stedet. Angir UserType i Windows-systemer basert på brukernavn og SID. |
Kildeidentifikasjonsfunksjoner
Funksjonen _ASIM_GetSourceBySourceType henter listen over kilder som er knyttet til en kildetype som er angitt som inndata fra SourceBySourceType overvåkingslisten. Funksjonen er ment for bruk av parsers forfattere. Hvis du vil ha mer informasjon, kan du se Filtrering etter kildetype ved hjelp av en visningsliste.
Funksjonen _ASIM_GetDisabledParsers leser ASimDisabledParsers opp visningslisten og bestemmer basert på den om parseren som er angitt som en parameter, er deaktivert. Denne funksjonen brukes internt av ASIM-parsere for å støtte deaktivering av bestemte parsere.
Visningslistefunksjoner
Visningslistefunksjonene gir optimaliserte metoder for å lese visningslister i ASIM-analyser.
| Funksjonen | Input | Utgang | Beskrivelse |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Visningslistealias (streng), valgfrie nøkler (dynamisk matrise) | Visningslisteelementer | Leser én enkelt visningsliste i råformat. Mer ytelsesfull enn den generelle _GetWatchlist funksjonen. |
| _ASIM_GetWatchlistsRaw | Visningslistealiaser (dynamisk matrise), valgfrie nøkler (dynamisk matrise) | Visningslisteelementer | Leser flere visningslister i råformat. Det primære brukstilfellet gir et alternativ for bruk av flere visningslistenavn for samme visningsliste. |
Funksjoner for identitetsberikelse
Funksjoner for identitetsberikelse bidrar til å berike dataene med brukerinformasjon fra UEBA IdentityInfo-tabellen.
| Funksjonen | Input | Utgang | Beskrivelse |
|---|---|---|---|
| _ASIM_IdentityInfo | Ingen | Normalisert IdentityInfo-tabell | Deduplicates og normaliserer IdentityInfo-tabellen for å forbedre brukervennligheten i spørringer. Returnerer en deduplicated tabell med ASIM-normaliserte feltnavn. |
| _ASIM_Enrich_IdentityInfo | Inndatatabell, feltnavnparametere | Beriket tabell | Beriker resultatsettet med brukerinformasjon fra IdentityInfo-tabellen. Bruk parameterne til å angi hvilket felt som skal brukes til å samsvare: AadIdField, TenantIdField, SidField, UpnFieldeller EmailField. |
Neste trinn
Denne artikkelen beskriver hjelpefunksjoner for Advanced Security Information Model (ASIM).
Hvis du vil ha mer informasjon, kan du se:
- Se deep dive-nettseminaret på Microsoft Sentinel normalisere analyser og normalisert innhold, eller se gjennom lysbildene
- Oversikt over Advanced Security Information Model (ASIM)
- ASIM-skjemaer (Advanced Security Information Model)
- ASIM-analyser (Advanced Security Information Model)
- Bruke ASIM (Advanced Security Information Model)
- Endre Microsoft Sentinel innhold for å bruke ASIM-parsere (Advanced Security Information Model)