Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
ASIM-helperfuncties (Advanced Security Information Model) breiden de KQL-taal uit en bieden functionaliteit die helpt bij de interactie met genormaliseerde gegevens en bij het schrijven van parsers.
Zoekfuncties voor verrijking
Opzoekfuncties voor verrijking bieden een eenvoudige methode om bekende waarden op te zoeken op basis van hun numerieke weergave. Dergelijke functies zijn handig omdat gebeurtenissen vaak de korte numerieke code van het formulier gebruiken, terwijl gebruikers de voorkeur geven aan de tekstvorm. De meeste functies hebben twee vormen:
De opzoekversie is een scalaire functie die de numerieke code accepteert en de tekstvorm retourneert.
Gebruik het volgende KQL-fragment met de opzoekversie :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)De oplossingsversie is een tabellaire functie die:
- Wordt gebruikt als een KQL-pijplijnoperator.
- Accepteert als invoer de naam van het veld met de waarde die moet worden opgezoekd.
- Hiermee stelt u de ASIM-velden in die doorgaans zowel de invoerwaarde als de resulterende opzoekwaarde bevatten.
Gebruik het volgende KQL-fragment met de oplossingsversie :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)De functie vult het ASIM-veld automatisch met het resultaat van de zoekopdracht.
De oplossingsversie heeft de voorkeur voor gebruik in ASIM-parsers, terwijl de opzoekversie handig is in query's voor algemeen gebruik. Wanneer een verrijkingszoekfunctie meer dan één waarde moet retourneren, wordt altijd de indeling resolve gebruikt.
Zie Door de gebruiker gedefinieerde functies in de Kusto-documentatie voor meer informatie over scalaire en tabellaire functies (respectievelijk vertegenwoordigd door de opzoek- en oplossingsversies hier).
Functies van het zoektype
| Functie | Input* | Uitvoer | Beschrijving |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Code van het numerieke DNS-querytype | Naam van querytype | Een numeriek DNS-resourcerecord (RR) type vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupDnsResponseCode | Numerieke DNS-antwoordcode | Naam van antwoordcode | Een numerieke DNS-antwoordcode (RCODE) vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupICMPType | Numeriek ICMP-type | ICMP-typenaam | Een numeriek ICMP-type vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupNetworkProtocol | IP-protocolnummer | IP-protocolnaam | Een numerieke IP-protocolcode vertalen naar de naam, zoals gedefinieerd door IANA |
| _ASIM_LookupHTTPStatusCode | HTTP-statuscode | HTTP-statuscodenaam | Vertaal een numerieke HTTP-statuscode naar de naam, zoals gedefinieerd door IANA. Ondersteunt ook uitgebreide statuscodes die worden gebruikt door IIS en andere webservers. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-foutcode | Foutcategorie | Vertaal een Microsoft Entra ID STS-foutcode naar de bijbehorende foutcategorie, zoals Logon violates policy of No such user or password. |
Typefuncties oplossen
De functies voor het oplossen van opmaak voeren dezelfde actie uit als hun opzoek-tegenhanger, maar accepteren een veldnaam, opgegeven als tekenreeksconstante, als invoer en stellen vooraf gedefinieerde velden in als uitvoer. De invoerwaarde wordt ook toegewezen aan een vooraf gedefinieerd veld.
| Functie | Uitgebreide velden |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType voor de invoerwaarde- DnsQueryTypeName voor de uitvoerwaarde |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode voor de invoerwaarde- DnsResponseCodeName voor de uitvoerwaarde |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode voor de invoerwaarde- NetworkIcmpType voor de opzoekwaarde |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber voor de invoerwaarde- NetworkProtocol voor de opzoekwaarde |
Helperfuncties voor parser
De volgende functies voeren taken uit die gebruikelijk zijn in parsers en nuttig zijn om de ontwikkeling van parsers te versnellen.
Apparaatomzettingsfuncties
De apparaatomzettingsfuncties analyseren een hostnaam en bepalen of deze domeingegevens en het type domeinnotatie bevat. De functies vullen vervolgens de relevante ASIM-velden in die een apparaat vertegenwoordigen. Alle functies zijn typefuncties oplossen en accepteren de naam van het veld met de hostnaam, weergegeven als een tekenreeks, als invoer.
| Functie | Uitgebreide velden | Beschrijving |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyseert de waarde in het opgegeven veld en stelt de uitvoervelden dienovereenkomstig in. Zie voorbeeld in het artikel over het ontwikkelen van parsers voor meer informatie. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNVergelijkbaar met , maar stelt de velden in Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNVergelijkbaar met , maar stelt de velden in Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNVergelijkbaar met , maar stelt de velden in Dvc |
Functies van gebruikerstype
De gebruikerstypefuncties helpen bij het bepalen van het type gebruiker op basis van gebruikersnaampatronen of beveiligings-id's (SID's).
| Functie | Invoer | Uitvoer | Beschrijving |
|---|---|---|---|
| _ASIM_GetUsernameType | Gebruikersnaamtekenreeks | Gebruikersnaamtype | Retourneert het gebruikersnaamtype op basis van de notatie van de gebruikersnaam. Mogelijke waarden zijn UPN (voor e-mailachtige gebruikersnamen), Windows (voor domein\gebruikersindeling), DN (voor DN-namen), Simpleof leeg als de gebruikersnaam leeg is. |
| _ASIM_GetWindowsUserType | Gebruikersnaamtekenreeks, SID-tekenreeks | Gebruikerstype | Retourneert het gebruikerstype voor Windows-systemen op basis van de gebruikersnaam en beveiligings-id (SID). Mogelijke waarden zijn Admin, Guest, Service, Machine, System, Anonymous, , Regular, , of Other. |
| _ASIM_GetUserType | Gebruikersnaamtekenreeks, SID-tekenreeks | Gebruikerstype | Afgekeurd. Gebruik _ASIM_GetWindowsUserType in plaats hiervan. Stelt het UserType in Windows-systemen in op basis van de gebruikersnaam en SID. |
Bronidentificatiefuncties
De functie _ASIM_GetSourceBySourceType haalt de lijst met bronnen op die zijn gekoppeld aan een brontype dat is opgegeven als invoer uit de SourceBySourceType volglijst. De functie is bedoeld voor gebruik door schrijvers van parsers. Zie Filteren op brontype met behulp van een volglijst voor meer informatie.
De functie _ASIM_GetDisabledParsers leest de ASimDisabledParsers volglijst en bepaalt op basis daarvan of de parser die als parameter is opgegeven, is uitgeschakeld. Deze functie wordt intern gebruikt door ASIM-parsers ter ondersteuning van het uitschakelen van specifieke parsers.
Volglijstfuncties
De volglijstfuncties bieden geoptimaliseerde methoden voor het lezen van volglijsten in ASIM-parsers.
| Functie | Invoer | Uitvoer | Beschrijving |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Volglijstalias (tekenreeks), optionele sleutels (dynamische matrix) | Volglijstitems | Hiermee wordt één volglijst in onbewerkte indeling gelezen. Beter presterend dan de algemene _GetWatchlist functie. |
| _ASIM_GetWatchlistsRaw | Volglijstaliassen (dynamische matrix), optionele sleutels (dynamische matrix) | Volglijstitems | Hiermee leest u meerdere volglijsten in onbewerkte indeling. De belangrijkste use-case is het bieden van een optie voor het gebruik van meerdere volglijstnamen voor dezelfde volglijst. |
Identiteitsverrijkingsfuncties
Identiteitsverrijkingsfuncties helpen uw gegevens te verrijken met gebruikersgegevens uit de tabel UEBA IdentityInfo.
| Functie | Invoer | Uitvoer | Beschrijving |
|---|---|---|---|
| _ASIM_IdentityInfo | Geen | Tabel Normalized IdentityInfo | Ontdubbelt en normaliseert de tabel IdentityInfo om de bruikbaarheid in query's te verbeteren. Retourneert een ontdubbelde tabel met ASIM-genormaliseerde veldnamen. |
| _ASIM_Enrich_IdentityInfo | Invoertabel, veldnaamparameters | Verrijkte tabel | Verrijkt uw resultatenset met gebruikersgegevens uit de tabel IdentityInfo. Gebruik de parameters om op te geven welk veld moet worden gebruikt voor het vergelijken van: AadIdField, TenantIdField, SidField, UpnFieldof EmailField. |
Volgende stappen
In dit artikel worden de ASIM-helpfuncties (Advanced Security Information Model) besproken.
Zie voor meer informatie:
- Bekijk de Deep Dive-webinar op Microsoft Sentinel Parsers normaliseren en genormaliseerde inhoud of bekijk de dia's
- Overzicht van Advanced Security Information Model (ASIM)
- ASIM-schema's (Advanced Security Information Model)
- ASIM-parsers (Advanced Security Information Model)
- Het Advanced Security Information Model (ASIM) gebruiken
- Microsoft Sentinel inhoud wijzigen voor het gebruik van de ASIM-parsers (Advanced Security Information Model)