Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les fonctions d’assistance ASIM (Advanced Security Information Model) étendent le langage KQL en fournissant des fonctionnalités qui permettent d’interagir avec des données normalisées et d’écrire des analyseurs.
Fonctions de recherche d’enrichissement
Les fonctions de recherche d’enrichissement fournissent une méthode simple de recherche de valeurs connues, en fonction de leur représentation numérique. Ces fonctions sont utiles, car les événements utilisent souvent le code numérique de forme courte, tandis que les utilisateurs préfèrent le formulaire textuel. La plupart des fonctions ont deux formes :
La version de recherche est une fonction scalaire qui accepte comme entrée le code numérique et retourne la forme textuelle.
Utilisez l’extrait de code KQL suivant avec la version de recherche :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)La version de résolution est une fonction tabulaire qui :
- Est utilisé comme opérateur de pipeline KQL.
- Accepte comme entrée le nom du champ contenant la valeur à rechercher.
- Définit les champs ASIM qui contiennent généralement à la fois la valeur d’entrée et la valeur de recherche résultante.
Utilisez l’extrait de code KQL suivant avec la version de résolution :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)La fonction remplit automatiquement le champ ASIM avec le résultat de la recherche.
La version de résolution est préférable pour une utilisation dans les analyseurs ASIM, tandis que la version de recherche est utile dans les requêtes à usage général. Lorsqu’une fonction de recherche d’enrichissement doit retourner plusieurs valeurs, elle utilise toujours le format de résolution .
Pour plus d’informations sur les fonctions scalaires et tabulaires (représentées par les versions de recherche et de résolution ici, respectivement), consultez Fonctions définies par l’utilisateur dans la documentation Kusto.
Fonctions de type de recherche
| Fonction | Entrée* | Sortie | Description |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Code de type de requête DNS numérique | Nom du type de requête | Traduire un type d’enregistrement de ressource DNS numérique (RR) en son nom, comme défini par l’IANA |
| _ASIM_LookupDnsResponseCode | Code de réponse DNS numérique | Nom du code de réponse | Traduire un code de réponse DNS numérique (RCODE) en son nom, tel que défini par l’IANA |
| _ASIM_LookupICMPType | Type ICMP numérique | Nom du type ICMP | Traduire un type ICMP numérique en son nom, tel que défini par l’IANA |
| _ASIM_LookupNetworkProtocol | Numéro de protocole IP | Nom du protocole IP | Traduire un code de protocole IP numérique en son nom, tel que défini par l’IANA |
| _ASIM_LookupHTTPStatusCode | Code d’état HTTP | Nom de code status HTTP | Traduisez un code de status HTTP numérique en son nom, tel que défini par l’IANA. Prend également en charge les codes status étendus utilisés par IIS et d’autres serveurs web. |
| _ASIM_LookupAADcodes | Microsoft Entra ID code d’erreur STS | Catégorie d’erreur | Traduisez un code d’erreur STS Microsoft Entra ID en sa catégorie d’erreur, par Logon violates policy exemple ou No such user or password. |
Résoudre les fonctions de type
Les fonctions de format de résolution effectuent la même action que leur équivalent de recherche, mais acceptent un nom de champ, fourni sous forme de constante de chaîne, comme entrée et configurent des champs prédéfinis en sortie. La valeur d’entrée est également affectée à un champ prédéfini.
| Fonction | Champs étendus |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType pour la valeur d’entrée- DnsQueryTypeName pour la valeur de sortie |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode pour la valeur d’entrée- DnsResponseCodeName pour la valeur de sortie |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode pour la valeur d’entrée- NetworkIcmpType pour la valeur de recherche |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber pour la valeur d’entrée- NetworkProtocol pour la valeur de recherche |
Fonctions d’assistance de l’analyseur
Les fonctions suivantes effectuent des tâches courantes dans les analyseurs et utiles pour accélérer le développement de l’analyseur.
Fonctions de résolution d’appareil
Les fonctions de résolution d’appareil analysent un nom d’hôte et déterminent s’il contient des informations de domaine et le type de notation de domaine. Les fonctions remplissent ensuite les champs ASIM appropriés représentant un appareil. Toutes les fonctions sont des fonctions de type de résolution et acceptent le nom du champ contenant le nom d’hôte, représenté sous forme de chaîne, comme entrée.
| Fonction | Champs étendus | Description |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyse la valeur dans le champ spécifié et définit les champs de sortie en conséquence. Pour plus d’informations, consultez l’exemple de l’article sur le développement d’analyseurs. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Similaire à _ASIM_ResolveFQDN, mais définit les Src champs |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Similaire à _ASIM_ResolveFQDN, mais définit les Dst champs |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Similaire à _ASIM_ResolveFQDN, mais définit les Dvc champs |
Fonctions de type d’utilisateur
Les fonctions de type d’utilisateur permettent de déterminer le type d’utilisateur en fonction de modèles de nom d’utilisateur ou d’identificateurs de sécurité (SID).
| Fonction | Input | Sortie | Description |
|---|---|---|---|
| _ASIM_GetUsernameType | Chaîne de nom d’utilisateur | Type de nom d’utilisateur | Retourne le type de nom d’utilisateur en fonction du format du nom d’utilisateur. Les valeurs possibles sont UPN (pour les noms d’utilisateur de type e-mail), Windows (pour le format domaine\utilisateur), DN (pour les noms uniques), Simpleou vides si le nom d’utilisateur est vide. |
| _ASIM_GetWindowsUserType | Chaîne de nom d’utilisateur, chaîne SID | Type d'utilisateur | Retourne le type d’utilisateur pour les systèmes Windows en fonction du nom d’utilisateur et de l’identificateur de sécurité (SID). Les valeurs possibles sont Admin, Guest, Service, SystemMachine, Anonymous, Regular, ou Other. |
| _ASIM_GetUserType | Chaîne de nom d’utilisateur, chaîne SID | Type d'utilisateur | Déconseillé. Utilisez _ASIM_GetWindowsUserType à la place. Définit userType dans les systèmes Windows en fonction du nom d’utilisateur et du SID. |
Fonctions d’identification de la source
La fonction _ASIM_GetSourceBySourceType récupère la liste des sources associées à un type de source fourni comme entrée de la SourceBySourceType Watchlist. La fonction est destinée à être utilisée par les enregistreurs d’analyseurs. Pour plus d’informations, consultez Filtrage par type de source à l’aide d’une watchlist.
La fonction _ASIM_GetDisabledParsers lit la ASimDisabledParsers watchlist et détermine en fonction de celle-ci si l’analyseur fourni en tant que paramètre est désactivé. Cette fonction est utilisée en interne par les analyseurs ASIM pour prendre en charge la désactivation d’analyseurs spécifiques.
Fonctions watchlist
Les fonctions watchlist fournissent des méthodes optimisées pour lire les watchlists dans les analyseurs ASIM.
| Fonction | Input | Sortie | Description |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias de watchlist (chaîne), clés facultatives (tableau dynamique) | Éléments de watchlist | Lit une seule watchlist au format brut. Plus performant que la fonction générale _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Alias de watchlist (tableau dynamique), clés facultatives (tableau dynamique) | Éléments de watchlist | Lit plusieurs watchlists au format brut. Le cas d’usage principal fournit une option permettant d’utiliser plusieurs noms de watchlist pour la même watchlist. |
Fonctions d’enrichissement d’identité
Les fonctions d’enrichissement d’identité permettent d’enrichir vos données avec les informations utilisateur de la table IdentityInfo UEBA.
| Fonction | Input | Sortie | Description |
|---|---|---|---|
| _ASIM_IdentityInfo | Aucun | Table IdentityInfo normalisée | Déduplique et normalise la table IdentityInfo pour améliorer sa facilité d’utilisation dans les requêtes. Retourne une table dédupliquée avec des noms de champs normalisés ASIM. |
| _ASIM_Enrich_IdentityInfo | Table d’entrée, paramètres de nom de champ | Table enrichie | Enrichit votre jeu de résultats avec les informations utilisateur de la table IdentityInfo. Utilisez les paramètres pour spécifier le champ à utiliser pour la correspondance : AadIdField, TenantIdField, SidField, UpnFieldou EmailField. |
Étapes suivantes
Cet article décrit les fonctions d’aide ASIM (Advanced Security Information Model).
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Regardez le webinaire approfondi sur Microsoft Sentinel normalisation des analyseurs et du contenu normalisé ou passez en revue les diapositives
- Vue d’ensemble du modèle ASIM (Advanced Security Information Model)
- Schémas ASIM (Advanced Security Information Model)
- Analyseurs ASIM (Advanced Security Information Model)
- Utilisation du modèle ASIM (Advanced Security Information Model)
- Modification Microsoft Sentinel contenu pour utiliser les analyseurs ASIM (Advanced Security Information Model)