Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le funzioni helper ASIM (Advanced Security Information Model) estendono il linguaggio KQL fornendo funzionalità che consentono di interagire con i dati normalizzati e di scrivere parser.
Funzioni di ricerca di arricchimento
Le funzioni di ricerca di arricchimento offrono un metodo semplice per cercare valori noti, in base alla relativa rappresentazione numerica. Tali funzioni sono utili in quanto gli eventi usano spesso il codice numerico in formato breve, mentre gli utenti preferiscono il modulo testuale. La maggior parte delle funzioni ha due forme:
La versione di ricerca è una funzione scalare che accetta come input il codice numerico e restituisce il modulo testuale.
Usare il frammento KQL seguente con la versione di ricerca :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)La versione di risoluzione è una funzione tabulare che:
- Viene usato come operatore della pipeline KQL.
- Accetta come input il nome del campo contenente il valore da cercare.
- Imposta i campi ASIM che contengono in genere sia il valore di input che il valore di ricerca risultante.
Usare il frammento di codice KQL seguente con la versione di risoluzione :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)La funzione popola automaticamente il campo ASIM con il risultato della ricerca.
La versione di risoluzione è preferibile per l'uso nei parser ASIM, mentre la versione di ricerca è utile nelle query per utilizzo generico. Quando una funzione di ricerca di arricchimento deve restituire più di un valore, usa sempre il formato di risoluzione .
Per altre informazioni sulle funzioni scalari e tabulari ,rappresentate rispettivamente dalle versioni di ricerca e risoluzione, vedere Funzioni definite dall'utente nella documentazione di Kusto.
Funzioni del tipo di ricerca
| Funzione | Input* | Output | Descrizione |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Codice numerico del tipo di query DNS | Nome del tipo di query | Convertire un tipo di record di risorse DNS numerico (RR) nel nome, come definito da IANA |
| _ASIM_LookupDnsResponseCode | Codice di risposta DNS numerico | Nome del codice di risposta | Convertire un codice di risposta DNS numerico (RCODE) nel relativo nome, come definito da IANA |
| _ASIM_LookupICMPType | Tipo ICMP numerico | Nome del tipo ICMP | Convertire un tipo ICMP numerico nel relativo nome, come definito da IANA |
| _ASIM_LookupNetworkProtocol | Numero di protocollo IP | Nome del protocollo IP | Convertire un codice di protocollo IP numerico nel relativo nome, come definito da IANA |
| _ASIM_LookupHTTPStatusCode | Codice di stato HTTP | Nome del codice di stato HTTP | Convertire un codice di stato HTTP numerico nel relativo nome, come definito da IANA. Supporta anche i codici di stato estesi usati da IIS e da altri server Web. |
| _ASIM_LookupAADcodes | Microsoft Entra ID codice di errore del servizio token di sicurezza | Categoria errore | Convertire un Microsoft Entra ID codice di errore STS nella relativa categoria di errore, ad Logon violates policy esempio o No such user or password. |
Risolvere le funzioni di tipo
Le funzioni di formato di risoluzione eseguono la stessa azione della controparte di ricerca, ma accettano un nome di campo, fornito come costante stringa, come input e impostano i campi predefiniti come output. Il valore di input viene assegnato anche a un campo predefinito.
| Funzione | Campi estesi |
|---|---|
| _ASIM_ResolveDnsQueryType |
-
DnsQueryType per il valore di input- DnsQueryTypeName per il valore di output |
| _ASIM_ResolveDnsResponseCode |
-
DnsResponseCode per il valore di input- DnsResponseCodeName per il valore di output |
| _ASIM_ResolveICMPType |
-
NetworkIcmpCode per il valore di input- NetworkIcmpType per il valore di ricerca |
| _ASIM_ResolveNetworkProtocol |
-
NetworkProtocolNumber per il valore di input- NetworkProtocol per il valore di ricerca |
Funzioni helper del parser
Le funzioni seguenti eseguono attività comuni nei parser e utili per accelerare lo sviluppo del parser.
Funzioni di risoluzione dei dispositivi
Le funzioni di risoluzione del dispositivo analizzano un nome host e determinano se sono disponibili informazioni sul dominio e il tipo di notazione del dominio. Le funzioni popolano quindi i campi ASIM pertinenti che rappresentano un dispositivo. Tutte le funzioni sono funzioni di tipo di risoluzione e accettano come input il nome del campo contenente il nome host, rappresentato come stringa.
| Funzione | Campi estesi | Descrizione |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analizza il valore nel campo specificato e imposta i campi di output di conseguenza. Per altre informazioni, vedere l'esempio nell'articolo sullo sviluppo di parser. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Simile a _ASIM_ResolveFQDN, ma imposta i Src campi |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- DstFQDN |
Simile a _ASIM_ResolveFQDN, ma imposta i Dst campi |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Simile a _ASIM_ResolveFQDN, ma imposta i Dvc campi |
Funzioni di tipo utente
Le funzioni di tipo utente consentono di determinare il tipo di utente in base ai modelli di nome utente o agli identificatori di sicurezza (SID).
| Funzione | Input | Output | Descrizione |
|---|---|---|---|
| _ASIM_GetUsernameType | Stringa nome utente | Tipo di nome utente | Restituisce il tipo di nome utente in base al formato del nome utente. I valori possibili includono UPN (per i nomi utente simili a un messaggio di posta elettronica), Windows (per il formato dominio\utente), DN (per i nomi distinti) Simpleo vuoti se il nome utente è vuoto. |
| _ASIM_GetWindowsUserType | Stringa nome utente, stringa SID | Tipo utente | Restituisce il tipo di utente per i sistemi Windows in base al nome utente e all'identificatore di sicurezza (SID). I valori possibili includono Admin, Guest, Service, Machine, AnonymousSystem, Regularo Other. |
| _ASIM_GetUserType | Stringa nome utente, stringa SID | Tipo utente | Deprecato. Usare _ASIM_GetWindowsUserType invece . Imposta UserType nei sistemi Windows in base al nome utente e al SID. |
Funzioni di identificazione dell'origine
La funzione _ASIM_GetSourceBySourceType recupera l'elenco di origini associate a un tipo di origine fornito come input da SourceBySourceType Watchlist. La funzione è destinata all'uso da parte dei writer di parser. Per altre informazioni, vedere Filtrare in base al tipo di origine usando un watchlist.
La funzione _ASIM_GetDisabledParsers legge l'elenco ASimDisabledParsers di controllo e determina in base a essa se il parser fornito come parametro è disabilitato. Questa funzione viene usata internamente dai parser ASIM per supportare la disabilitazione di parser specifici.
Funzioni watchlist
Le funzioni watchlist forniscono metodi ottimizzati per la lettura degli elenchi di controllo nei parser ASIM.
| Funzione | Input | Output | Descrizione |
|---|---|---|---|
| _ASIM_GetWatchlistRaw | Alias watchlist (stringa), chiavi facoltative (matrice dinamica) | Elementi watchlist | Legge una singola watchlist in formato non elaborato. Più performante rispetto alla funzione generale _GetWatchlist . |
| _ASIM_GetWatchlistsRaw | Alias watchlist (matrice dinamica), chiavi facoltative (matrice dinamica) | Elementi watchlist | Legge più watchlist in formato non elaborato. Il caso d'uso principale consiste nel fornire un'opzione per l'uso di più nomi watchlist per la stessa watchlist. |
Funzioni di arricchimento delle identità
Le funzioni di arricchimento delle identità consentono di arricchire i dati con le informazioni utente della tabella UEBA IdentityInfo.
| Funzione | Input | Output | Descrizione |
|---|---|---|---|
| _ASIM_IdentityInfo | Nessuno | Tabella IdentityInfo normalizzata | Deduplica e normalizza la tabella IdentityInfo per migliorarne l'usabilità nelle query. Restituisce una tabella deduplicata con nomi di campo normalizzati ASIM. |
| _ASIM_Enrich_IdentityInfo | Tabella di input, parametri del nome del campo | Tabella arricchita | Arricchisce il set di risultati con le informazioni utente della tabella IdentityInfo. Usare i parametri per specificare il campo da utilizzare per la corrispondenza: AadIdField, TenantIdField, SidField, UpnFieldo EmailField. |
Passaggi successivi
Questo articolo illustra le funzioni della Guida di Advanced Security Information Model (ASIM).
Per altre informazioni, vedere:
- Guardare il webinar deep dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e del contenuto normalizzato) o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Schemi ASIM (Advanced Security Information Model)
- Parser ASIM (Advanced Security Information Model)
- Uso del modello ASIM (Advanced Security Information Model)
- Modifica del contenuto Microsoft Sentinel per l'uso dei parser ASIM (Advanced Security Information Model)