Advanced Security Information Model (ASIM) segédfüggvények (nyilvános előzetes verzió)
Az Advanced Security Information Model (ASIM) segédfüggvényei kiterjesztik a KQL-nyelvet, és olyan funkciókat biztosítanak, amelyek segítenek a normalizált adatokkal való interakcióban és az elemzők írásában.
Bővítési keresési függvények
A dúsítási keresési függvények egyszerű módszert nyújtanak az ismert értékek numerikus ábrázolása alapján történő keresésére. Az ilyen függvények hasznosak, mivel az események gyakran használják a rövid űrlap numerikus kódját, míg a felhasználók a szöveges űrlapot részesítik előnyben. A legtöbb függvénynek két formája van:
A keresési verzió egy skaláris függvény, amely elfogadja a numerikus kód bemenetét, és visszaadja a szöveges űrlapot.
Használja a következő KQL-kódrészletet a keresési verzióval:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
A feloldó verzió egy táblázatos függvény, amely:
- KQL-folyamat operátorként használatos.
- Bemenetként elfogadja a keresendő értéket tartalmazó mező nevét.
- Beállítja az ASIM-mezőket, amelyek általában a bemeneti és az eredményül kapott keresési értéket is megadják.
Használja a következő KQL-kódrészletet a feloldó verzióval:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
A függvény automatikusan kitölti az ASIM mezőt a keresés eredményével.
A feloldó verzió előnyösebb az ASIM-elemzőkben, míg a keresési verzió általános célú lekérdezésekben hasznos. Ha egy bővítési keresési függvénynek egynél több értéket kell visszaadnia, mindig a feloldási formátumot fogja használni.
A skaláris és a táblázatos függvényekkel kapcsolatos további információkért (amelyeket a keresés és a verziók feloldása itt jelöl) a Kusto dokumentációjában, a felhasználó által definiált függvényekben talál további információt.
Keresési típusú függvények
Függvény | Bemenet* | Hozam | Leírás |
---|---|---|---|
_ASIM_LookupDnsQueryType | Numerikus DNS-lekérdezéstípus kódja | Lekérdezéstípus neve | Numerikus DNS-erőforrásrekord (RR) típus lefordítása a nevére az IANA által meghatározott módon |
_ASIM_LookupDnsResponseCode | Numerikus DNS-válaszkód | Válaszkód neve | Numerikus DNS-válaszkód (RCODE) lefordítása a nevére az IANA által meghatározott módon |
_ASIM_LookupICMPType | Numerikus ICMP-típus | ICMP-típus neve | Numerikus ICMP-típus lefordítása a nevére az IANA által meghatározott módon |
_ASIM_LookupNetworkProtocol | IP-protokollszám | IP-protokoll neve | Numerikus IP-protokoll kódjának lefordítása a nevére az IANA által meghatározott módon |
Típusfüggvények feloldása
A feloldó formátumfüggvények ugyanazt a műveletet hajtják végre, mint a keresési megfelelőjüket, de fogadják el a sztringállandóként megadott mezőnevet bemenetként, és előre definiált mezőket állíthatnak be kimenetként. A bemeneti érték egy előre definiált mezőhöz is hozzá van rendelve.
Függvény | Kiterjesztett mezők |
---|---|
_ASIM_ResolveDnsQueryType | - DnsQueryType a bemeneti értékhez- DnsQueryTypeName a kimeneti értékhez |
_ASIM_ResolveDnsResponseCode | - DnsResponseCode a bemeneti értékhez- DnsResponseCodeName a kimeneti értékhez |
_ASIM_ResolveICMPType | - NetworkIcmpCode a bemeneti értékhez- NetworkIcmpType a keresési értékhez |
_ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber a bemeneti értékhez- NetworkProtocol a keresési értékhez |
Elemző segédfüggvények
Az alábbi függvények olyan feladatokat hajtanak végre, amelyek gyakoriak az elemzőkben, és hasznosak az elemzők fejlesztésének felgyorsításához.
Eszközfeloldási függvények
Az eszközfeloldási függvények elemzik a gazdagépnevet, és meghatározzák, hogy rendelkezik-e tartományinformációval és a tartománynév típusával. A függvények ezután feltöltik az eszköznek megfelelő ASIM-mezőket. Minden függvény feloldja a típusfüggvényeket, és fogadja el a gazdagépnevet tartalmazó mező nevét, amely sztringként jelenik meg bemenetként.
Forrásazonosító függvények
A _ASIM_GetSourceBySourceType függvény lekéri a Figyelőlista bemeneteként SourceBySourceType
megadott forrástípushoz társított források listáját. A függvényt elemző írók használják. További információ: Szűrés forrástípus szerint Figyelőlista használatával.
Következő lépések
Ez a cikk az Advanced Security Information Model (ASIM) súgófüggvényeit ismerteti.
További információk:
- Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content szolgáltatásban, vagy tekintse át a diákat
- Az Advanced Security Information Model (ASIM) áttekintése
- Advanced Security Information Model (ASIM) sémák
- Advanced Security Information Model (ASIM) elemzők
- Az Advanced Security Information Model (ASIM) használata
- A Microsoft Sentinel-tartalom módosítása az Advanced Security Information Model (ASIM) elemzők használatára