Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
ASIM-hjälpfunktioner (Advanced Security Information Model) utökar KQL-språket med funktioner som hjälper dig att interagera med normaliserade data och skriva parsers.
Uppslagsfunktioner för berikande
Uppslagsfunktioner för berikning är en enkel metod för att leta upp kända värden baserat på deras numeriska representation. Sådana funktioner är användbara eftersom händelser ofta använder den korta numeriska formulärkoden, medan användarna föredrar det textbaserade formuläret. De flesta funktioner har två formulär:
Uppslagsversionen är en skalär funktion som accepterar som indata den numeriska koden och returnerar textformuläret.
Använd följande KQL-kodfragment med uppslagsversionen :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Lösningsversionen är en tabellfunktion som:
- Används som KQL-pipelineoperator.
- Accepterar som indata namnet på fältet som innehåller det värde som ska slås upp.
- Anger asim-fälten som vanligtvis innehåller både indatavärdet och det resulterande uppslagsvärdet.
Använd följande KQL-kodfragment med matchningsversionen :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Funktionen fyller automatiskt i ASIM-fältet med resultatet av sökningen.
Lös version är att föredra för användning i ASIM-parsers, medan uppslagsversionen är användbar i allmänna frågor. När en uppslagsfunktion för berikning måste returnera fler än ett värde använder den alltid matchningsformatet .
Mer information om skalära och tabellfunktioner (som representeras av uppslags- respektive lösningsversionerna här) finns i Användardefinierade funktioner i Kusto-dokumentationen .
Uppslagstypsfunktioner
| Funktion | Input* | Utdata | Beskrivning |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Numerisk DNS-frågetypkod | Namn på frågetyp | Översätta en numerisk DNS-resursposttyp (RR) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupDnsResponseCode | Numerisk DNS-svarskod | Namn på svarskod | Översätt en numerisk DNS-svarskod (RCODE) till dess namn, enligt definitionen i IANA |
| _ASIM_LookupICMPType | Numerisk ICMP-typ | ICMP-typnamn | Översätta en numerisk ICMP-typ till dess namn, enligt definitionen i IANA |
| _ASIM_LookupNetworkProtocol | IP-protokollnummer | IP-protokollnamn | Översätta en numerisk IP-protokollkod till dess namn enligt definitionen i IANA |
| _ASIM_LookupHTTPStatusCode | HTTP-statuskod | HTTP-statuskodnamn | Översätt en numerisk HTTP-statuskod till dess namn, enligt definitionen i IANA. Stöder även utökade statuskoder som används av IIS och andra webbservrar. |
| _ASIM_LookupAADcodes | Microsoft Entra ID STS-felkod | Felkategori | Översätt en Microsoft Entra ID STS-felkod till dess felkategori, till exempel Logon violates policy eller No such user or password. |
Lösa typfunktioner
Funktionerna för matchningsformat utför samma åtgärd som deras uppslagsmotsvarighet, men accepterar ett fältnamn, som tillhandahålls som en strängkonstant, som indata och konfigurerar fördefinierade fält som utdata. Indatavärdet tilldelas också till ett fördefinierat fält.
| Funktion | Utökade fält |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType för indatavärdet- DnsQueryTypeName för utdatavärdet |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode för indatavärdet- DnsResponseCodeName för utdatavärdet |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode för indatavärdet- NetworkIcmpType för uppslagsvärdet |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber för indatavärdet- NetworkProtocol för uppslagsvärdet |
Hjälpfunktioner för parser
Följande funktioner utför uppgifter som är vanliga i parsers och som är användbara för att påskynda parsningsutvecklingen.
Funktioner för enhetsmatchning
Enhetsmatchningsfunktionerna analyserar ett värdnamn och avgör om den har domäninformation och typ av domännotation. Funktionerna fyller sedan i relevanta ASIM-fält som representerar en enhet. Alla funktioner är matchningstypsfunktioner och accepterar namnet på fältet som innehåller värdnamnet, som representeras som en sträng, som indata.
| Funktion | Utökade fält | Beskrivning |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analyserar värdet i det angivna fältet och anger utdatafälten i enlighet med detta. Mer information finns i exemplet i artikeln om att utveckla parsers. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDNLiknar , men anger fälten Dvc |
Funktioner för användartyp
Funktionerna för användartyp hjälper dig att fastställa typen av användare baserat på användarnamnsmönster eller säkerhetsidentifierare (SID).
| Funktion | Indata | Utdata | Beskrivning |
|---|---|---|---|
| _ASIM_GetUsernameType | Användarnamnssträng | Användarnamnstyp | Returnerar användarnamnstypen baserat på användarnamnets format. Möjliga värden är UPN (för e-postliknande användarnamn), Windows (för domän\användarformat), DN (för unika namn), Simpleeller tomma om användarnamnet är tomt. |
| _ASIM_GetWindowsUserType | Användarnamnssträng, SID-sträng | Användartyp | Returnerar användartypen för Windows-system baserat på användarnamnet och säkerhetsidentifieraren (SID). Möjliga värden är Admin, Guest, Service, Machine, System, , Anonymouseller RegularOther. |
| _ASIM_GetUserType | Användarnamnssträng, SID-sträng | Användartyp | Deprecated. Använd _ASIM_GetWindowsUserType i stället. Anger UserType i Windows-system baserat på användarnamn och SID. |
Funktioner för källidentifiering
Funktionen _ASIM_GetSourceBySourceType hämtar listan över källor som är associerade med en källtyp som anges som indata från visningslistan SourceBySourceType . Funktionen är avsedd att användas av parsers-skrivare. Mer information finns i Filtrera efter källtyp med hjälp av en visningslista.
Funktionen _ASIM_GetDisabledParsers läser visningslistan ASimDisabledParsers och avgör baserat på om parsern som tillhandahålls som parameter är inaktiverad. Den här funktionen används internt av ASIM-parsers för att stödja inaktivering av specifika parser.
Visningslistfunktioner
Funktionerna i visningslistan innehåller optimerade metoder för att läsa visningslistor i ASIM-parsers.
| Funktion | Indata | Utdata | Beskrivning |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Bevakningslistalias (sträng), valfria nycklar (dynamisk matris) | Objekt i visningslistan | Läser en enda visningslista i raw-format. Mer högpresterande än den allmänna _GetWatchlist funktionen. |
| _ASIM_GetWatchlistsRaw | Bevaka alias (dynamisk matris), valfria nycklar (dynamisk matris) | Objekt i visningslistan | Läser flera visningslistor i raw-format. Det primära användningsfallet är ett alternativ för att använda flera visningslistnamn för samma visningslista. |
Funktioner för identitetsberikning
Funktioner för identitetsberikning hjälper dig att utöka dina data med användarinformation från tabellen UEBA IdentityInfo.
| Funktion | Indata | Utdata | Beskrivning |
|---|---|---|---|
| _ASIM_IdentityInfo | Inga | Normaliserad IdentityInfo-tabell | Deduplicerar och normaliserar tabellen IdentityInfo för att förbättra dess användbarhet i frågor. Returnerar en deduplicerad tabell med ASIM-normaliserade fältnamn. |
| _ASIM_Enrich_IdentityInfo | Indatatabell, fältnamnsparametrar | Berikad tabell | Utökar resultatuppsättningen med användarinformation från tabellen IdentityInfo. Använd parametrarna för att ange vilket fält som ska användas för matchning: AadIdField, TenantIdField, SidField, UpnFieldeller EmailField. |
Nästa steg
I den här artikeln beskrivs hjälpfunktionerna för Advanced Security Information Model (ASIM).
Mer information finns i:
- Titta på webbseminariet för djupdykning på Microsoft Sentinel Normalisera parsrar och normaliserat innehåll eller granska bilderna
- Översikt över Advanced Security Information Model (ASIM)
- ASIM-scheman (Advanced Security Information Model)
- ASIM-parsers (Advanced Security Information Model)
- Använda Advanced Security Information Model (ASIM)
- Ändra Microsoft Sentinel innehåll för att använda ASIM-parsers (Advanced Security Information Model)