Gelişmiş Güvenlik Bilgileri Modeli (ASIM) yardımcı işlevleri (Genel önizleme)
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) yardımcı işlevleri, normalleştirilmiş verilerle ve yazılı ayrıştırıcılarla etkileşime yardımcı olan işlevler sağlayan KQL dilini genişletir.
Zenginleştirme arama işlevleri
Zenginleştirme arama işlevleri, bilinen değerleri sayısal gösterimlerine göre aramanın kolay bir yöntemini sağlar. Bu tür işlevler, kullanıcılar metin biçimini tercih ederken olaylar genellikle kısa biçimli sayısal kod kullandığından yararlıdır. İşlevlerin çoğunun iki biçimi vardır:
Arama sürümü, sayısal kodu girdi olarak kabul eden ve metin biçimini döndüren bir skaler işlevdir. Arama sürümüyle aşağıdaki KQL parçacığını kullanın:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
Çözüm sürümü, şu sekmeli bir işlevdir:
- KQL işlem hattı işleci kullanılır.
- Arama için değeri tutan alanın adını girdi olarak kabul eder.
- Genellikle hem giriş değerini hem de sonuçta elde edilen arama değerini tutan ASIM alanlarını ayarlar.
Çözüm sürümüyle aşağıdaki KQL parçacığını kullanın:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Bu, NetworkProtocol alanını aramanın sonucuyla otomatik olarak doldurur.
Çözümle sürümü ASIM ayrıştırıcılarında kullanılmak üzere tercih edilirken, arama sürümü genel amaçlı sorgularda kullanışlıdır. Zenginleştirme arama işlevinin birden fazla değer döndürmesi gerektiğinde, her zaman çözüm biçimini kullanır.
Arama türü işlevleri
| İşlev | Giriş* | Çıktı | Açıklama |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Sayısal DNS sorgu türü kodu | Sorgu türü adı | Sayısal DNS kaynak kaydı (RR) türünü, IANA tarafından tanımlandığı gibi adına çevirme |
| _ASIM_LookupDnsResponseCode | Sayısal DNS yanıt kodu | Yanıt kodu adı | IANA tarafından tanımlanan sayısal DNS yanıt kodunu (RCODE) adına çevirme |
| _ASIM_LookupICMPType | Sayısal ICMP türü | ICMP tür adı | Sayısal bir ICMP türünü, IANA tarafından tanımlandığı şekilde adına çevirme |
| _ASIM_LookupNetworkProtocol | IP protokol numarası | IP protokolü adı | Sayısal IP protokolü kodunu IANA tarafından tanımlandığı şekilde adına çevirme |
Tür işlevlerini çözümleme
Çözümleme biçimi işlevleri, arama karşılık gelenleriyle aynı eylemi gerçekleştirir, ancak giriş olarak dize sabiti olarak sağlanan bir alan adını kabul eder ve önceden tanımlanmış alanları çıkış olarak ayarlar. Giriş değeri önceden tanımlanmış bir alana da atanır.
| İşlev | Genişletilmiş alanlar |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType giriş değeri için- DnsQueryTypeName çıkış değeri için |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode giriş değeri için- DnsResponseCodeName çıkış değeri için |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode giriş değeri için- NetworkIcmpType arama değeri için |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber giriş değeri için- NetworkProtocol arama değeri için |
Ayrıştırıcı yardımcı işlevleri
Aşağıdaki işlevler ayrıştırıcılarda ortak olan ve ayrıştırıcı geliştirmeyi hızlandırmak için yararlı olan görevleri gerçekleştirir.
Cihaz çözümleme işlevleri
Cihaz çözümleme işlevleri bir konak adını analiz eder ve etki alanı bilgilerine ve etki alanı gösteriminin türüne sahip olup olmadığını belirler. İşlevler daha sonra bir cihazı temsil eden ilgili ASIM alanlarını doldurur. Tüm işlevler tür işlevlerini çözümler ve giriş olarak dize olarak temsil edilen konak adını içeren alanın adını kabul edilir.
| İşlev | Genişletilmiş alanlar | Açıklama |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Belirtilen alandaki değeri analiz eder ve çıkış alanlarını buna göre ayarlar. Daha fazla bilgi için ayrıştırıcı geliştirme hakkındaki makalenin örneğine bakın. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
benzer, _ASIM_ResolveFQDNancak alanları ayarlar Dvc |
Kaynak tanımlama işlevleri
_ASIM_GetSourceBySourceType işlevi, İzleme Listesi'nden SourceBySourceType giriş olarak sağlanan bir kaynak türüyle ilişkili kaynakların listesini alır. işlevi ayrıştırıcı yazıcıları tarafından kullanılmak üzere tasarlanmıştır. Daha fazla bilgi için bkz . İzleme Listesi kullanarak kaynak türüne göre filtreleme.
Sonraki adımlar
Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) yardım işlevleri ele alınmaktadır.
Daha fazla bilgi için bkz.
- Microsoft Sentinel'de Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Bakış Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeli'ne (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) Kullanma
- Microsoft Sentinel içeriğini Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını kullanacak şekilde değiştirme