Compartir a través de

高级安全信息模型 (ASIM) 帮助程序函数(公共预览版)

高级安全信息模型 (ASIM) 帮助程序函数可扩展 KQL 语言,提供有助于与规范化数据交互和编写分析程序的功能。

扩充查找函数

扩充查找函数提供了一种简单的方法来根据已知值的数值表示形式查找这些值。 此类函数很有用,因为事件通常使用短格式的数字代码,而用户更倾向于使用文本形式。 大多数函数有两种形式:

lookup 版本是一个标量函数,它接受数字代码作为输入并返回文本形式。 将以下 KQL 代码片段与 lookup 版本结合使用:

| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)

resolve 版本是一个表格函数,可:

  • 被用作 KQL 管道运算符。
  • 接受包含要查找的值的字段名称作为输入。
  • 设置 ASIM 字段,通常包含输入值和结果查找值。

将以下 KQL 代码片段与 resolve 版本结合使用:

| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)

这将使用查找结果自动填充 NetworkProtocol 字段。

resolve 版本更适用于 ASIM 分析程序,而 lookup 版本在通用查询中很有用。 当扩充查找函数必须返回多个值时,它将始终使用 resolve 格式。

lookup 类型函数

函数 输入* 输出 说明
_ASIM_LookupDnsQueryType 数字 DNS 查询类型代码 查询类型名称 将数字 DNS 资源记录 (RR) 类型转换为由 IANA 定义的名称
_ASIM_LookupDnsResponseCode 数字 DNS 响应代码 响应代码名称 将数字 DNS 响应代码 (RCODE) 转换为由 IANA 定义的名称
_ASIM_LookupICMPType 数字 ICMP 类型 ICMP 类型名称 将数字 ICMP 类型转换为由 IANA 定义的名称
_ASIM_LookupNetworkProtocol IP 协议号 IP 协议名称 将数字 IP 协议代码转换为由 IANA 定义的名称

resolve 类型函数

resolve 格式函数执行与其查找对应项相同的操作,但接受作为字符串常量提供的字段名称作为输入,并将预定义字段设置为输出。 输入值也会分配给预定义字段。

函数 扩展字段
_ASIM_ResolveDnsQueryType - DnsQueryType 为输入值
- DnsQueryTypeName 为输出值
_ASIM_ResolveDnsResponseCode - DnsResponseCode 为输入值
- DnsResponseCodeName 为输出值
_ASIM_ResolveICMPType - NetworkIcmpCode 为输入值
- NetworkIcmpType 为查找值
_ASIM_ResolveNetworkProtocol - NetworkProtocolNumber 为输入值
- NetworkProtocol 为查找值

分析程序帮助程序函数

以下函数执行分析程序中常见的任务,对加速分析程序开发很有用。

设备解析函数

设备解析函数会分析主机名并确定它是否具有域信息和域表示法的类型。 然后,这些函数会填充表示设备的相关 ASIM 字段。 所有这些函数都是 resolve 类型函数,并接受包含主机名的字段的名称(以字符串表示)作为输入。

函数 扩展字段 说明
_ASIM_ResolveFQDN - ExtractedHostname
- Domain
- DomainType
- FQDN
分析指定字段中的值并相应地设置输出字段。 有关详细信息,请参阅有关开发分析程序的文章中的示例
_ASIM_ResolveSrcFQDN - SrcHostname
- SrcDomain
- SrcDomainType
- SrcFQDN
类似于 _ASIM_ResolveFQDN,但将设置 Src 字段
_ASIM_ResolveDstFQDN - DstHostname
- DstDomain
- DstDomainType
- SrcFQDN
类似于 _ASIM_ResolveFQDN,但将设置 Dst 字段
_ASIM_ResolveDvcFQDN - DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
类似于 _ASIM_ResolveFQDN,但将设置 Dvc 字段

源识别函数

_ASIM_GetSourceBySourceType 函数检索与作为来自 SourceBySourceType 监视列表的输入提供的源类型关联的源列表。 此函数旨在供分析程序编写者使用。 有关详细信息,请参阅使用监视列表按源类型进行筛选

后续步骤

本文介绍高级安全信息模型 (ASIM) 帮助函数。

有关详细信息,请参阅: