Funções auxiliares do Advanced Security Information Model (ASIM) (Pré-visualização pública)
As funções auxiliares do Advanced Security Information Model (ASIM) expandem a linguagem KQL que fornece funcionalidades que ajudam a interagir com dados normalizados e a escrever analisadores.
Funções de pesquisa de melhoramento
As funções de pesquisa de melhoramento fornecem um método fácil de procurar valores conhecidos, com base na sua representação numérica. Estas funções são úteis, uma vez que os eventos utilizam frequentemente o código numérico de formulário curto, enquanto os utilizadores preferem o formulário textual. A maioria das funções tem duas formas:
A versão de pesquisa é uma função escalar que aceita como entrada o código numérico e devolve o formulário textual. Utilize o seguinte fragmento KQL com a versão de pesquisa :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
A versão de resolução é uma função tabular que:
- É utilizado um operador de pipeline KQL.
- Aceita como entrada o nome do campo que contém o valor a procurar.
- Define os campos ASIM que normalmente contêm o valor de entrada e o valor de pesquisa resultante.
Utilize o seguinte fragmento KQL com a versão de resolução :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Que irá preencher automaticamente o campo NetworkProtocol com o resultado da pesquisa.
A versão de resolução é preferível para utilização em analisadores ASIM, enquanto a versão de pesquisa é útil em consultas para fins gerais. Quando uma função de pesquisa de melhoramento tem de devolver mais do que um valor, utilizará sempre o formato resolver .
Funções de tipo de pesquisa
| Função | Entrada* | Saída | Descrição |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código do tipo de consulta DNS numérico | Nome do tipo de consulta | Traduzir um tipo de registo de recurso DNS numérico (RR) para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupDnsResponseCode | Código de resposta DNS numérico | Nome do código de resposta | Traduzir um código de resposta DNS numérico (RCODE) para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupICMPType | Tipo de ICMP numérico | Nome do tipo ICMP | Traduzir um tipo ICMP numérico para o respetivo nome, conforme definido pela IANA |
| _ASIM_LookupNetworkProtocol | Número do protocolo IP | Nome do protocolo IP | Traduzir um código de protocolo IP numérico para o respetivo nome, conforme definido pela IANA |
Resolver funções de tipo
As funções de formatação de resolução executam a mesma ação que a respetiva contrapartida de pesquisa, mas aceitam um nome de campo, fornecido como uma constante de cadeia, como entrada e configuração de campos predefinidos como saída. O valor de entrada também é atribuído a um campo predefinido.
| Função | Campos expandidos |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType para o valor de entrada- DnsQueryTypeName para o valor de saída |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode para o valor de entrada- DnsResponseCodeName para o valor de saída |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode para o valor de entrada- NetworkIcmpType para o valor de pesquisa |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber para o valor de entrada- NetworkProtocol para o valor de pesquisa |
Funções auxiliares do Analisador
As seguintes funções executam tarefas que são comuns em analisadores e úteis para acelerar o desenvolvimento do analisador.
Funções de resolução de dispositivos
As funções de resolução de dispositivos analisam um nome de anfitrião e determinam se tem informações de domínio e o tipo de notação de domínio. Em seguida, as funções povoam os campos ASIM relevantes que representam um dispositivo. Todas as funções são funções de tipo de resolução e aceitam o nome do campo que contém o nome do anfitrião, representado como uma cadeia, como entrada.
| Função | Campos expandidos | Descrição |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analisa o valor no campo especificado e define os campos de saída em conformidade. Para obter mais informações, veja exemplo no artigo sobre o desenvolvimento de parsers. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os Src campos |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os Dst campos |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Semelhante a _ASIM_ResolveFQDN, mas define os Dvc campos |
Funções de identificação de origem
A função _ASIM_GetSourceBySourceType obtém a lista de origens associadas a um tipo de origem fornecido como entrada da SourceBySourceType Lista de Observação. A função destina-se a ser utilizada por escritores de analisadores. Para obter mais informações, veja Filtrar por tipo de origem com uma Lista de Observação.
Passos seguintes
Este artigo aborda as funções de ajuda do Advanced Security Information Model (ASIM).
Para obter mais informações, consulte:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
- Descrição geral do Advanced Security Information Model (ASIM)
- Esquemas do Advanced Security Information Model (ASIM)
- Analisadores do Advanced Security Information Model (ASIM)
- Utilizar o Modelo Avançado de Informações de Segurança (ASIM)
- Modificar conteúdos do Microsoft Sentinel para utilizar os analisadores do Modelo de Informação de Segurança Avançada (ASIM)