Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las funciones auxiliares del modelo de información de seguridad avanzada (ASIM) amplían el lenguaje KQL proporcionando funcionalidad que ayuda a interactuar con datos normalizados y a analizar por escrito.
Funciones de búsqueda de enriquecimiento
Las funciones de búsqueda de enriquecimiento proporcionan un método sencillo para buscar valores conocidos, en función de su representación numérica. Estas funciones son útiles, ya que los eventos suelen usar el código numérico de formato corto, mientras que los usuarios prefieren el formulario textual. La mayoría de las funciones tienen dos formas:
La versión de búsqueda es una función escalar que acepta como entrada el código numérico y devuelve el formulario textual.
Use el siguiente fragmento de código de KQL con la versión de búsqueda :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)La versión de resolución es una función tabular que:
- Se usa como operador de canalización de KQL.
- Acepta como entrada el nombre del campo que contiene el valor que se va a buscar.
- Establece los campos de ASIM que normalmente contienen el valor de entrada y el valor de búsqueda resultante.
Use el siguiente fragmento de código de KQL con la versión de resolución :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)La función rellena automáticamente el campo ASIM con el resultado de la búsqueda.
La versión de resolución es preferible para su uso en analizadores de ASIM, mientras que la versión de búsqueda es útil en consultas de uso general. Cuando una función de búsqueda de enriquecimiento tiene que devolver más de un valor, siempre usará el formato de resolución .
Para obtener más información sobre las funciones escalares y tabulares (representadas por las versiones de búsqueda y resolución aquí, respectivamente), consulte Funciones definidas por el usuario en la documentación de Kusto.
Funciones de tipo de búsqueda
| Función | Entrada* | Salida | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código de tipo de consulta DNS numérico | Nombre del tipo de consulta | Traducir un tipo de registro de recursos DNS numérico (RR) a su nombre, tal como lo define IANA |
| _ASIM_LookupDnsResponseCode | Código de respuesta DNS numérico | Nombre del código de respuesta | Traducir un código de respuesta DNS numérico (RCODE) a su nombre, tal como lo define IANA |
| _ASIM_LookupICMPType | Tipo ICMP numérico | Nombre de tipo ICMP | Traducir un tipo ICMP numérico a su nombre, tal como lo define IANA |
| _ASIM_LookupNetworkProtocol | Número de protocolo IP | Nombre del protocolo IP | Traducir un código de protocolo IP numérico a su nombre, tal como lo define IANA |
| _ASIM_LookupHTTPStatusCode | Código de estado HTTP | Nombre del código de estado HTTP | Convierta un código de estado HTTP numérico a su nombre, tal como lo define IANA. También admite códigos de estado extendidos utilizados por IIS y otros servidores web. |
| _ASIM_LookupAADcodes | Microsoft Entra ID código de error STS | Categoría de error | Convierta un código de error Microsoft Entra ID STS a su categoría de error, como Logon violates policy o No such user or password. |
Resolver funciones de tipo
Las funciones de formato de resolución realizan la misma acción que su homólogo de búsqueda, pero aceptan un nombre de campo, proporcionado como una constante de cadena, como entrada y configuración de campos predefinidos como salida. El valor de entrada también se asigna a un campo predefinido.
| Función | Campos extendidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para el valor de entrada- DnsQueryTypeName para el valor de salida |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para el valor de entrada- DnsResponseCodeName para el valor de salida |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para el valor de entrada- NetworkIcmpType para el valor de búsqueda |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para el valor de entrada- NetworkProtocol para el valor de búsqueda |
Funciones auxiliares del analizador
Las siguientes funciones realizan tareas que son comunes en los analizadores y son útiles para acelerar el desarrollo del analizador.
Funciones de resolución de dispositivos
Las funciones de resolución de dispositivos analizan un nombre de host y determinan si tiene información de dominio y el tipo de notación de dominio. A continuación, las funciones rellenan los campos de ASIM pertinentes que representan un dispositivo. Todas las funciones son funciones de tipo de resolución y aceptan el nombre del campo que contiene el nombre de host, representado como una cadena, como entrada.
| Función | Campos extendidos | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analiza el valor del campo especificado y establece los campos de salida en consecuencia. Para obtener más información, consulte el ejemplo del artículo sobre el desarrollo de analizadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los Src campos |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los Dst campos |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los Dvc campos |
Funciones de tipo de usuario
Las funciones de tipo de usuario ayudan a determinar el tipo de usuario en función de los patrones de nombre de usuario o los identificadores de seguridad (SID).
| Función | Input | Salida | Description |
|---|---|---|---|
| _ASIM_GetUsernameType | Cadena de nombre de usuario | Tipo de nombre de usuario | Devuelve el tipo de nombre de usuario según el formato del nombre de usuario. Los valores posibles son UPN (para nombres de usuario similares a los de correo electrónico), Windows (para el formato dominio/usuario), DN (para nombres distintivos), Simpleo vacíos si el nombre de usuario está vacío. |
| _ASIM_GetWindowsUserType | Cadena de nombre de usuario, cadena SID | Tipo de usuario | Devuelve el tipo de usuario de los sistemas Windows según el nombre de usuario y el identificador de seguridad (SID). Los valores posibles son Admin, Guest, Service, Machine, System, Anonymous, Regularo Other. |
| _ASIM_GetUserType | Cadena de nombre de usuario, cadena SID | Tipo de usuario | Obsoleto. Use _ASIM_GetWindowsUserType en su lugar. Establece usertype en sistemas Windows en función del nombre de usuario y el SID. |
Funciones de identificación de origen
La función _ASIM_GetSourceBySourceType recupera la lista de orígenes asociados a un tipo de origen proporcionado como entrada de la SourceBySourceType lista de seguimiento. La función está pensada para que la usen los autores de analizadores. Para obtener más información, vea Filtrado por tipo de origen mediante una lista de seguimiento.
La función _ASIM_GetDisabledParsers lee la ASimDisabledParsers lista de reproducción y determina en función de ella si el analizador proporcionado como parámetro está deshabilitado. Los analizadores de ASIM usan internamente esta función para admitir la deshabilitación de analizadores específicos.
Funciones de lista de reproducción
Las funciones de lista de reproducción proporcionan métodos optimizados para leer listas de reproducción en analizadores de ASIM.
| Función | Input | Salida | Description |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias de lista de reproducción (cadena), claves opcionales (matriz dinámica) | Elementos de la lista de reproducción | Lee una sola lista de reproducción en formato sin formato. Más eficaz que la función general _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Alias de lista de seguimiento (matriz dinámica), claves opcionales (matriz dinámica) | Elementos de la lista de reproducción | Lee varias listas de reproducción en formato sin formato. El caso de uso principal proporciona una opción para usar varios nombres de lista de reproducción para la misma lista de reproducción. |
Funciones de enriquecimiento de identidad
Las funciones de enriquecimiento de identidad ayudan a enriquecer los datos con información del usuario de la tabla IdentityInfo de UEBA.
| Función | Input | Salida | Description |
|---|---|---|---|
| _ASIM_IdentityInfo | Ninguno | Tabla IdentityInfo normalizada | Desduplica y normaliza la tabla IdentityInfo para mejorar su facilidad de uso en las consultas. Devuelve una tabla desduplicada con nombres de campo normalizados por ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabla de entrada, parámetros de nombre de campo | Tabla enriquecida | Enriquece el conjunto de resultados con información del usuario de la tabla IdentityInfo. Use los parámetros para especificar qué campo usar para la coincidencia: AadIdField, TenantIdField, SidField, UpnFieldo EmailField. |
Pasos siguientes
En este artículo se describen las funciones de ayuda del modelo de información de seguridad avanzada (ASIM).
Para más información, vea:
- Vea el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Uso del modelo de información de seguridad avanzada (ASIM)
- Modificar Microsoft Sentinel contenido para usar los analizadores del modelo de información de seguridad avanzada (ASIM)