Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As funções auxiliares do Modelo de Informação de Segurança Avançada (ASIM) expandem a linguagem KQL, fornecendo funcionalidades que ajudam a interagir com dados normalizados e na escrita de analisadores.
Funções de pesquisa de melhoramento
As funções de pesquisa de melhoramento fornecem um método fácil de procurar valores conhecidos, com base na respetiva representação numérica. Estas funções são úteis, uma vez que os eventos utilizam frequentemente o código numérico de formulário curto, enquanto os utilizadores preferem o formulário textual. A maioria das funções tem duas formas:
A versão de pesquisa é uma função escalar que aceita como entrada o código numérico e devolve o formulário textual.
Utilize o seguinte fragmento KQL com a versão de pesquisa :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)A versão de resolução é uma função tabular que:
- É utilizado como um operador de pipeline KQL.
- Aceita como entrada o nome do campo que contém o valor a procurar.
- Define os campos ASIM que normalmente contêm o valor de entrada e o valor de pesquisa resultante.
Utilize o seguinte fragmento KQL com a versão de resolução :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)A função preenche automaticamente o campo ASIM com o resultado da pesquisa.
A versão de resolução é preferível para utilização em analisadores ASIM, enquanto a versão de pesquisa é útil em consultas para fins gerais. Quando uma função de pesquisa de melhoramento tem de devolver mais do que um valor, utilizará sempre o formato resolver .
Para obter mais informações sobre funções escalares e tabulares (representadas pelas versões de pesquisa e resolução aqui, respetivamente), veja Funções definidas pelo utilizador na documentação do Kusto.
Funções de tipo de pesquisa
| Função | Entrada* | Saída | Descrição |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código do tipo de consulta DNS numérico | Nome do tipo de consulta | Traduzir um tipo de registo de recurso DNS (RR) numérico para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupDnsResponseCode | Código de resposta DNS numérico | Nome do código de resposta | Traduzir um código de resposta DNS numérico (RCODE) para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupICMPType | Tipo de ICMP numérico | Nome do tipo ICMP | Traduzir um tipo de ICMP numérico para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupNetworkProtocol | Número do protocolo IP | Nome do protocolo IP | Traduzir um código de protocolo IP numérico para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupHTTPStatusCode | Código de estado HTTP | Nome do código de estado HTTP | Traduza um código de estado HTTP numérico para o respetivo nome, conforme definido pela IANA. Também suporta códigos de estado expandidos utilizados pelo IIS e outros servidores Web. |
| _ASIM_LookupAADcodes | Microsoft Entra ID código de erro STS | Categoria de erro | Traduza um Microsoft Entra ID código de erro STS para a respetiva categoria de erro, como Logon violates policy ou No such user or password. |
Resolver funções de tipo
As funções de formato de resolução executam a mesma ação que o seu homólogo de pesquisa, mas aceitam um nome de campo, fornecido como uma constante de cadeia, como entrada e configurar campos predefinidos como saída. O valor de entrada também é atribuído a um campo predefinido.
| Função | Campos expandidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para o valor de entrada- DnsQueryTypeName para o valor de saída |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para o valor de entrada- DnsResponseCodeName para o valor de saída |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para o valor de entrada- NetworkIcmpType para o valor de pesquisa |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para o valor de entrada- NetworkProtocol para o valor de pesquisa |
Funções auxiliares de analisador
As seguintes funções executam tarefas comuns em analisadores e são úteis para acelerar o desenvolvimento do analisador.
Funções de resolução de dispositivos
As funções de resolução de dispositivos analisam um nome de anfitrião e determinam se tem informações de domínio e o tipo de notação de domínio. Em seguida, as funções povoam os campos ASIM relevantes que representam um dispositivo. Todas as funções são funções de tipo de resolução e aceitam o nome do campo que contém o nome do anfitrião, representado como uma cadeia, como entrada.
| Função | Campos expandidos | Descrição |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analisa o valor no campo especificado e define os campos de saída em conformidade. Para obter mais informações, veja o exemplo no artigo sobre o desenvolvimento de analisadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os Src campos |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os Dst campos |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os Dvc campos |
Funções de tipo de utilizador
As funções de tipo de utilizador ajudam a determinar o tipo de utilizador com base em padrões de nome de utilizador ou identificadores de segurança (SIDs).
| Função | Entrada | Saída | Descrição |
|---|---|---|---|
| _ASIM_GetUsernameType | Cadeia de nome de utilizador | Tipo de nome de utilizador | Devolve o tipo de nome de utilizador com base no formato do nome de utilizador. Os valores possíveis incluem UPN (para nomes de utilizador semelhantes a e-mails), Windows (para o formato de domínio\utilizador), DN (para nomes distintos) Simpleou vazios se o nome de utilizador estiver vazio. |
| _ASIM_GetWindowsUserType | Cadeia de nome de utilizador, cadeia de SID | Tipo de utilizador | Devolve o tipo de utilizador para sistemas Windows com base no nome de utilizador e identificador de segurança (SID). Os valores possíveis incluem , , , , , , , Regularou Other. AnonymousSystemMachineServiceGuestAdmin |
| _ASIM_GetUserType | Cadeia de nome de utilizador, cadeia de SID | Tipo de utilizador | Preterido. Em vez disso, utilize _ASIM_GetWindowsUserType . Define o UserType nos sistemas Windows com base no nome de utilizador e no SID. |
Funções de identificação de origem
A função _ASIM_GetSourceBySourceType obtém a lista de origens associadas a um tipo de origem fornecido como entrada da SourceBySourceType Lista de Observação. A função destina-se a ser utilizada por escritores de analisadores. Para obter mais informações, veja Filtrar por tipo de origem com uma Lista de Observação.
A função _ASIM_GetDisabledParsers lê a ASimDisabledParsers lista de observação e determina se o analisador fornecido como parâmetro está desativado. Esta função é utilizada internamente pelos analisadores ASIM para suportar a desativação de parsers específicos.
Funções de lista de observação
As funções de lista de observação fornecem métodos otimizados para ler listas de observação em analisadores ASIM.
| Função | Entrada | Saída | Descrição |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias da lista de observação (cadeia), chaves opcionais (matriz dinâmica) | Itens da lista de observação | Lê uma única lista de observação em formato não processado. Mais eficaz do que a função geral _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Aliases da lista de observação (matriz dinâmica), chaves opcionais (matriz dinâmica) | Itens da lista de observação | Lê várias listas de observação em formato não processado. O caso de utilização principal está a fornecer uma opção para utilizar vários nomes de lista de observação para a mesma lista de observação. |
Funções de melhoramento de identidade
As funções de melhoramento de identidade ajudam a enriquecer os seus dados com informações de utilizador da tabela UEBA IdentityInfo.
| Função | Entrada | Saída | Descrição |
|---|---|---|---|
| _ASIM_IdentityInfo | Nenhum | Tabela Identidade NormalizadaInfo | Elimina duplicados e normaliza a tabela IdentityInfo para melhorar a sua capacidade de utilização em consultas. Devolve uma tabela com eliminação de duplicados com nomes de campo normalizados asIM. |
| _ASIM_Enrich_IdentityInfo | Tabela de entrada, parâmetros de nome de campo | Tabela melhorada | Melhora o conjunto de resultados com as informações do utilizador da tabela IdentityInfo. Utilize os parâmetros para especificar o campo a utilizar para a correspondência: AadIdField, TenantIdField, SidField, UpnFieldou EmailField. |
Passos seguintes
Este artigo aborda as funções de ajuda do Modelo de Informação de Segurança Avançada (ASIM).
Para mais informações, consulte:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Utilizar o Modelo de Informações de Segurança Avançada (ASIM)
- Modificar Microsoft Sentinel conteúdo para utilizar os analisadores do Modelo de Informação de Segurança Avançada (ASIM)