Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Asim-hjælpefunktioner (Advanced Security Information Model) udvider KQL-sproget, hvilket giver funktionalitet, der hjælper med at interagere med normaliserede data og skrive fortolkere.
Opslagsfunktioner til berigelse
Opslagsfunktioner til berigelse giver en nem metode til at slå kendte værdier op på baggrund af deres numeriske repræsentation. Sådanne funktioner er nyttige, da hændelser ofte bruger den korte numeriske kode i formularen, mens brugerne foretrækker den tekstmæssige formular. De fleste af funktionerne har to former:
Opslagsversionen er en skalarfunktion, der accepterer den numeriske kode som input og returnerer tekstformularen.
Brug følgende KQL-kodestykke med opslagsversionen :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Resolve-versionen er en tabelfunktion, der:
- Bruges som en KQL-pipelineoperator.
- Accepterer som input navnet på det felt, der indeholder den værdi, der skal slås op.
- Angiver ASIM-felterne, der typisk indeholder både inputværdien og den resulterende opslagsværdi.
Brug følgende KQL-kodestykke med løsningsversionen :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funktionen udfylder automatisk ASIM-feltet med resultatet af opslaget.
Løsningsversionen foretrækkes til brug i ASIM-fortolkninger, mens opslagsversionen er nyttig i generelle forespørgsler. Når en opslagsfunktion til forbedring skal returnere mere end én værdi, bruger den altid fortolkerformatet.
Du kan finde flere oplysninger om skalar- og tabelfunktioner (repræsenteret af henholdsvis opslags- og løsningsversionerne her) under Brugerdefinerede funktioner i dokumentationen til Kusto.
Opslagstypefunktioner
| Funktion | Input* | Output | Beskrivelse |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerisk DNS-forespørgselstypekode | Navn på forespørgselstype | Oversæt en numerisk DNS-ressourceposttype (RR) til navnet, som defineret af IANA |
| _ASIM_LookupDnsResponseCode | Numerisk DNS-svarkode | Navn på svarkode | Oversæt en numerisk DNS-svarkode (RCODE) til navnet, som defineret af IANA |
| _ASIM_LookupICMPType | Numerisk ICMP-type | Navn på ICMP-type | Oversæt en numerisk ICMP-type til navnet, som defineret af IANA |
| _ASIM_LookupNetworkProtocol | IP-protokolnummer | IP-protokolnavn | Oversæt en numerisk IP-protokolkode til navnet, som defineret af IANA |
| _ASIM_LookupHTTPStatusCode | HTTP-statuskode | HTTP-statuskodenavn | Oversæt en numerisk HTTP-statuskode til navnet, som defineret af IANA. Understøtter også udvidede statuskoder, der bruges af IIS og andre webservere. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-fejlkode | Fejlkategori | Oversæt en Microsoft Entra ID STS-fejlkode til fejlkategorien, f.eksLogon violates policy. eller No such user or password. |
Løs typefunktioner
Funktionerne til løsningsformat udfører den samme handling som deres opslagspart, men accepterer et feltnavn, der er angivet som en strengkonstant, som input og konfigurerer foruddefinerede felter som output. Inputværdien tildeles også til et foruddefineret felt.
| Funktion | Udvidede felter |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType for inputværdien- DnsQueryTypeName for outputværdien |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode for inputværdien- DnsResponseCodeName for outputværdien |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode for inputværdien- NetworkIcmpType for opslagsværdien |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber for inputværdien- NetworkProtocol for opslagsværdien |
Funktioner til parserhjælpefunktion
Følgende funktioner udfører opgaver, der er almindelige i fortolkere og nyttige til at fremskynde udvikling af fortolkere.
Funktioner for enhedsopløsning
Funktionerne til enhedsopløsning analyserer et værtsnavn og bestemmer, om det har domæneoplysninger og typen af domænenotation. Funktionerne udfylder derefter de relevante ASIM-felter, der repræsenterer en enhed. Alle funktionerne fortolker typefunktioner og accepterer navnet på det felt, der indeholder værtsnavnet, repræsenteret som en streng, som input.
| Funktion | Udvidede felter | Beskrivelse |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyserer værdien i det angivne felt og angiver outputfelterne tilsvarende. Du kan finde flere oplysninger i eksemplet i artiklen om udvikling af fortolkere. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Svarer til _ASIM_ResolveFQDN, men angiver felterne Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Svarer til _ASIM_ResolveFQDN, men angiver felterne Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Svarer til _ASIM_ResolveFQDN, men angiver felterne Dvc |
Funktioner for brugertype
Brugertypefunktionerne hjælper med at bestemme brugertypen baseret på brugernavnsmønstre eller sikkerheds-id'er (SID'er).
| Funktion | Input | Output | Beskrivelse |
|---|---|---|---|
| _ASIM_GetUsernameType | Brugernavnsstreng | Brugernavnstype | Returnerer brugernavnstypen baseret på formatet af brugernavnet. Mulige værdier omfatter UPN (for maillignende brugernavne), Windows (for domæne\brugerformat), DN (for entydige navne), Simpleeller tomme, hvis brugernavnet er tomt. |
| _ASIM_GetWindowsUserType | Brugernavnsstreng, SID-streng | Brugertype | Returnerer brugertypen for Windows-systemer baseret på brugernavnet og sikkerheds-id'et (SID). De mulige værdier omfatter Admin, Guest, Service, Machine, AnonymousSystem, , Regulareller Other. |
| _ASIM_GetUserType | Brugernavnsstreng, SID-streng | Brugertype | Forældet. Brug _ASIM_GetWindowsUserType i stedet. Angiver UserType i Windows-systemer baseret på brugernavnet og SID'et. |
Kildeidentifikationsfunktioner
Funktionen _ASIM_GetSourceBySourceType henter listen over kilder, der er knyttet til en kildetype, der er angivet som input fra visningslisten SourceBySourceType . Funktionen er beregnet til brug af fortolkere. Du kan få flere oplysninger under Filtrering efter kildetype ved hjælp af en visningsliste.
Funktionen _ASIM_GetDisabledParsers læser visningslisten ASimDisabledParsers og bestemmer, om den parser, der er angivet som en parameter, er deaktiveret. Denne funktion bruges internt af ASIM-fortolkere til at understøtte deaktivering af bestemte fortolkere.
Visningslistefunktioner
Funktionerne på visningslisten indeholder optimerede metoder til læsning af visningslister i ASIM-fortolkninger.
| Funktion | Input | Output | Beskrivelse |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Visningslistealias (streng), valgfri nøgler (dynamisk matrix) | Visningslisteelementer | Læser en enkelt visningsliste i råformat. Mere effektiv end den generelle _GetWatchlist funktion. |
| _ASIM_GetWatchlistsRaw | Visningslistealiasser (dynamisk matrix), valgfri nøgler (dynamisk matrix) | Visningslisteelementer | Læser flere visningslister i råformat. Den primære use case giver mulighed for at bruge flere visningslistenavne til den samme visningsliste. |
Funktioner til identitetsforbedring
Funktioner til identitetsforbedring hjælper med at forbedre dine data med brugeroplysninger fra UEBA IdentityInfo-tabellen.
| Funktion | Input | Output | Beskrivelse |
|---|---|---|---|
| _ASIM_IdentityInfo | Ingen | Normalized IdentityInfo-tabel | Deduplicates og normaliserer tabellen IdentityInfo for at forbedre dens anvendelighed i forespørgsler. Returnerer en deduplikeret tabel med ASIM-normaliserede feltnavne. |
| _ASIM_Enrich_IdentityInfo | Inputtabel, parametre for feltnavn | Beriget tabel | Forbedrer dit resultatsæt med brugeroplysninger fra tabellen IdentityInfo. Brug parametrene til at angive, hvilket felt der skal bruges til matchning: AadIdField, TenantIdField, SidField, UpnFieldeller EmailField. |
Næste trin
I denne artikel beskrives hjælpefunktionerne til ASIM (Advanced Security Information Model).
Du kan finde flere oplysninger under:
- Se webinaret med detaljeret gennemgang på Microsoft Sentinel normalisere fortolkere og normaliseret indhold, eller gennemse slidene
- Oversigt over ASIM (Advanced Security Information Model)
- ASIM-skemaer (Advanced Security Information Model)
- ASIM-fortolkninger (Advanced Security Information Model)
- Brug af ASIM (Advanced Security Information Model)
- Ændring af Microsoft Sentinel indhold for at bruge ASIM-fortolkere (Advanced Security Information Model)