Megosztás a következőn keresztül:

Advanced Security Information Model (ASIM) segédfüggvények (nyilvános előzetes verzió)

  • Cikk

Az Advanced Security Information Model (ASIM) segédfüggvényei kiterjesztik a KQL-nyelvet, és olyan funkciókat biztosítanak, amelyek segítenek a normalizált adatokkal való interakcióban és az elemzők írásában.

Bővítési keresési függvények

A dúsítási keresési függvények egyszerű módszert nyújtanak az ismert értékek numerikus ábrázolása alapján történő keresésére. Az ilyen függvények hasznosak, mivel az események gyakran használják a rövid űrlap numerikus kódját, míg a felhasználók a szöveges űrlapot részesítik előnyben. A legtöbb függvénynek két formája van:

  • A keresési verzió egy skaláris függvény, amely elfogadja a numerikus kód bemenetét, és visszaadja a szöveges űrlapot.

    Használja a következő KQL-kódrészletet a keresési verzióval:

    | extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)

  • A feloldó verzió egy táblázatos függvény, amely:

    • KQL-folyamat operátorként használatos.
    • Bemenetként elfogadja a keresendő értéket tartalmazó mező nevét.
    • Beállítja az ASIM-mezőket, amelyek általában a bemeneti és az eredményül kapott keresési értéket is megadják.

    Használja a következő KQL-kódrészletet a feloldó verzióval:

    | invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)

    A függvény automatikusan kitölti az ASIM mezőt a keresés eredményével.

A feloldó verzió előnyösebb az ASIM-elemzőkben, míg a keresési verzió általános célú lekérdezésekben hasznos. Ha egy bővítési keresési függvénynek egynél több értéket kell visszaadnia, mindig a feloldási formátumot fogja használni.

A skaláris és a táblázatos függvényekkel kapcsolatos további információkért (amelyeket a keresés és a verziók feloldása itt jelöl) a Kusto dokumentációjában, a felhasználó által definiált függvényekben talál további információt.

Keresési típusú függvények

Függvény Bemenet* Hozam Leírás
_ASIM_LookupDnsQueryType Numerikus DNS-lekérdezéstípus kódja Lekérdezéstípus neve Numerikus DNS-erőforrásrekord (RR) típus lefordítása a nevére az IANA által meghatározott módon
_ASIM_LookupDnsResponseCode Numerikus DNS-válaszkód Válaszkód neve Numerikus DNS-válaszkód (RCODE) lefordítása a nevére az IANA által meghatározott módon
_ASIM_LookupICMPType Numerikus ICMP-típus ICMP-típus neve Numerikus ICMP-típus lefordítása a nevére az IANA által meghatározott módon
_ASIM_LookupNetworkProtocol IP-protokollszám IP-protokoll neve Numerikus IP-protokoll kódjának lefordítása a nevére az IANA által meghatározott módon

Típusfüggvények feloldása

A feloldó formátumfüggvények ugyanazt a műveletet hajtják végre, mint a keresési megfelelőjüket, de fogadják el a sztringállandóként megadott mezőnevet bemenetként, és előre definiált mezőket állíthatnak be kimenetként. A bemeneti érték egy előre definiált mezőhöz is hozzá van rendelve.

Függvény Kiterjesztett mezők
_ASIM_ResolveDnsQueryType - DnsQueryType a bemeneti értékhez
- DnsQueryTypeName a kimeneti értékhez
_ASIM_ResolveDnsResponseCode - DnsResponseCode a bemeneti értékhez
- DnsResponseCodeName a kimeneti értékhez
_ASIM_ResolveICMPType - NetworkIcmpCode a bemeneti értékhez
- NetworkIcmpType a keresési értékhez
_ASIM_ResolveNetworkProtocol - NetworkProtocolNumber a bemeneti értékhez
- NetworkProtocol a keresési értékhez

Elemző segédfüggvények

Az alábbi függvények olyan feladatokat hajtanak végre, amelyek gyakoriak az elemzőkben, és hasznosak az elemzők fejlesztésének felgyorsításához.

Eszközfeloldási függvények

Az eszközfeloldási függvények elemzik a gazdagépnevet, és meghatározzák, hogy rendelkezik-e tartományinformációval és a tartománynév típusával. A függvények ezután feltöltik az eszköznek megfelelő ASIM-mezőket. Minden függvény feloldja a típusfüggvényeket, és fogadja el a gazdagépnevet tartalmazó mező nevét, amely sztringként jelenik meg bemenetként.

Függvény Kiterjesztett mezők Leírás
_ASIM_ResolveFQDN - ExtractedHostname
- Domain
- DomainType
- FQDN		 Elemzi a megadott mező értékét, és ennek megfelelően állítja be a kimeneti mezőket. További információt az elemzők fejlesztéséről szóló cikkben talál.
_ASIM_ResolveSrcFQDN - SrcHostname
- SrcDomain
- SrcDomainType
- SrcFQDN		 _ASIM_ResolveFQDNEhhez hasonló, de beállítja a Src mezőket
_ASIM_ResolveDstFQDN - DstHostname
- DstDomain
- DstDomainType
- SrcFQDN		 _ASIM_ResolveFQDNEhhez hasonló, de beállítja a Dst mezőket
_ASIM_ResolveDvcFQDN - DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN		 _ASIM_ResolveFQDNEhhez hasonló, de beállítja a Dvc mezőket

Forrásazonosító függvények

A _ASIM_GetSourceBySourceType függvény lekéri a Figyelőlista bemeneteként SourceBySourceType megadott forrástípushoz társított források listáját. A függvényt elemző írók használják. További információ: Szűrés forrástípus szerint Figyelőlista használatával.

Következő lépések

Ez a cikk az Advanced Security Information Model (ASIM) súgófüggvényeit ismerteti.

További információk: