Gelişmiş Güvenlik Bilgileri Modeli (ASIM) yardımcı işlevleri (Genel önizleme)
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) yardımcı işlevleri, normalleştirilmiş verilerle ve yazma ayrıştırıcılarıyla etkileşime yardımcı olan işlevler sağlayarak KQL dilini genişletir.
Zenginleştirme arama işlevleri
Zenginleştirme arama işlevleri, sayısal gösterimlerine göre bilinen değerleri aramak için kolay bir yöntem sağlar. Olaylar genellikle kısa biçimli sayısal kodu kullandığından, kullanıcılar metin biçimini tercih ederken bu tür işlevler yararlıdır. İşlevlerin çoğunun iki biçimi vardır:
Arama sürümü, sayısal kodu girdi olarak kabul eden ve metin biçimini döndüren bir skaler işlevdir.
Arama sürümüyle aşağıdaki KQL kod parçacığını kullanın:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Çözüm sürümü, aşağıdaki tablosal bir işlevdir:
- KQL işlem hattı işleci olarak kullanılır.
- Arama için değeri tutan alanın adını giriş olarak kabul eder.
- ASIM alanlarını genellikle hem giriş değerini hem de sonuçta elde edilen arama değerini tutarak ayarlar.
Çözüm sürümüyle aşağıdaki KQL kod parçacığını kullanın:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)İşlev, ASIM alanını aramanın sonucuyla otomatik olarak doldurur.
Çözümle sürümü ASIM ayrıştırıcılarında kullanılmak üzere tercih edilirken, arama sürümü genel amaçlı sorgularda kullanışlıdır. Zenginleştirme arama işlevinin birden fazla değer döndürmesi gerektiğinde, her zaman çözümleme biçimini kullanır.
Skaler ve tablosal işlevler hakkında daha fazla bilgi için (sırasıyla burada arama ve çözüm sürümleriyle gösterilir), Kusto belgelerindeki Kullanıcı tanımlı işlevler bölümüne bakın.
Arama türü işlevleri
| İşlev | Girdi* | Çıktı | Açıklama |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Sayısal DNS sorgu türü kodu | Sorgu türü adı | Sayısal DNS kaynak kaydı (RR) türünü, IANA tarafından tanımlandığı gibi adına çevirin |
| _ASIM_LookupDnsResponseCode | Sayısal DNS yanıt kodu | Yanıt kodu adı | Sayısal bir DNS yanıt kodunu (RCODE) IANA tarafından tanımlandığı şekilde adına çevirin |
| _ASIM_LookupICMPType | Sayısal ICMP türü | ICMP tür adı | Sayısal bir ICMP türünü, IANA tarafından tanımlandığı şekilde adına çevirme |
| _ASIM_LookupNetworkProtocol | IP protokol numarası | IP protokolü adı | IANA tarafından tanımlanan sayısal IP protokolü kodunu adına çevirme |
Tür işlevlerini çözümleme
Çözümleme biçimi işlevleri, arama karşılık gelenleriyle aynı eylemi gerçekleştirir, ancak dize sabiti olarak sağlanan bir alan adını giriş olarak kabul eder ve önceden tanımlanmış alanları çıkış olarak ayarlar. Giriş değeri önceden tanımlanmış bir alana da atanır.
| İşlev | Genişletilmiş alanlar |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType giriş değeri için- DnsQueryTypeName çıkış değeri için |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode giriş değeri için- DnsResponseCodeName çıkış değeri için |
| _ASIM_ResolveICMPType | - NetworkIcmpCode giriş değeri için- NetworkIcmpType arama değeri için |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber giriş değeri için- NetworkProtocol arama değeri için |
Ayrıştırıcı yardımcı işlevleri
Aşağıdaki işlevler ayrıştırıcılarda ortak olan ve ayrıştırıcı geliştirmesini hızlandırmak için yararlı olan görevleri gerçekleştirir.
Cihaz çözümleme işlevleri
Cihaz çözümleme işlevleri bir konak adını analiz eder ve etki alanı bilgilerine ve etki alanı gösteriminin türüne sahip olup olmadığını belirler. İşlevler daha sonra bir cihazı temsil eden ilgili ASIM alanlarını doldurur. Tüm işlevler tür işlevlerini çözümler ve giriş olarak dize olarak temsil edilen konak adını içeren alanın adını kabul edin.
| İşlev | Genişletilmiş alanlar | Açıklama |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Belirtilen alandaki değeri analiz eder ve çıkış alanlarını buna göre ayarlar. Daha fazla bilgi için ayrıştırıcı geliştirme hakkındaki makalenin örneğine bakın. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dvc |
Kaynak tanımlama işlevleri
_ASIM_GetSourceBySourceType işlevi, İzleme Listesi'nden SourceBySourceType giriş olarak sağlanan bir kaynak türüyle ilişkili kaynakların listesini alır. işlevi ayrıştırıcı yazarları tarafından kullanılmak üzere tasarlanmıştır. Daha fazla bilgi için bkz . İzleme Listesi kullanarak kaynak türüne göre filtreleme.
Sonraki adımlar
Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) yardım işlevleri ele alınmaktadır.
Daha fazla bilgi için bkz.
- Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) kullanma
- Microsoft Sentinel içeriğini Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını kullanacak şekilde değiştirme