Funciones de asistente de modelo de información de seguridad avanzada (ASIM) (versión preliminar)
Las funciones de asistente del modelo de información de seguridad avanzada (ASIM) amplían el lenguaje de KQL y proporcionan funcionalidades que ayudan a interactuar con datos normalizados y a escribir analizadores.
Funciones de búsqueda de enriquecimiento
Las funciones de búsqueda de enriquecimiento proporcionan un método sencillo de buscar valores conocidos, en función de su representación numérica. Estas funciones son útiles, ya que los eventos suelen usar el código numérico de formato corto, mientras que los usuarios prefieren el formulario textual. La mayoría de las funciones tienen dos formas:
La versión de búsqueda es una función escalar que acepta como entrada el código numérico y devuelve el formulario textual. Use el siguiente fragmento de código de KQL con la versión de búsqueda:
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)
La versión de resolución es una función tabular que:
- Se usa un operador de canalización KQL.
- Acepta como entrada el nombre del campo que contiene el valor que se va a buscar.
- Establece los campos de ASIM que normalmente contienen el valor de entrada y el valor de búsqueda resultante.
Use el siguiente fragmento de código de KQL con la versión de resolución:
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)
Que rellenará automáticamente el campo NetworkProtocol con el resultado de la búsqueda.
La versión de resolución es preferible para su uso en analizadores de ASIM, mientras que la versión de búsqueda es útil en las consultas de uso general. Cuando una función de búsqueda de enriquecimiento tiene que devolver más de un valor, siempre usará el formato de resolución.
Funciones de tipo de búsqueda
| Función | Entrada* | Output | Descripción |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Código de tipo de consulta DNS numérico | Nombre del tipo de consulta | Traducción de un tipo de registro de recursos DNS numérico (RR) a su nombre, tal y como se define en IANA |
| _ASIM_LookupDnsResponseCode | Código de respuesta DNS numérico | Nombre del código de respuesta | Traducción de un código de respuesta DNS numérico (RCODE) a su nombre, según lo definido por IANA |
| _ASIM_LookupICMPType | Tipo ICMP numérico | Nombre del tipo ICMP | Traducción de un tipo ICMP numérico a su nombre, tal y como se define en IANA |
| _ASIM_LookupNetworkProtocol | Números de protocolo IP | Nombre del protocolo IP | Traducción de un código numérico de protocolo IP a su nombre, tal como se define en IANA |
Resolución de funciones de tipo
Las funciones de formato de resolución realizan la misma acción que su homólogo de búsqueda, pero aceptan un nombre de campo, proporcionado como una constante de cadena, como entrada y configuración de campos predefinidos como salida. El valor de entrada también se asigna a un campo predefinido.
| Función | Campos extendidos |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType para el valor de entrada- DnsQueryTypeName para el valor de salida |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode para el valor de entrada- DnsResponseCodeName para el valor de salida |
| _ASIM_ResolveICMPType | - NetworkIcmpCode para el valor de entrada- NetworkIcmpType para el valor de búsqueda |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber para el valor de entrada- NetworkProtocol para el valor de búsqueda |
Funciones auxiliares del analizador
Las siguientes funciones realizan tareas comunes en analizadores y útiles para acelerar el desarrollo del analizador.
Funciones de resolución de dispositivos
Las funciones de resolución de dispositivos analizan un nombre de host y determinan si tiene información de dominio y el tipo de notación de dominio. A continuación, las funciones rellenan los campos ASIM pertinentes que representan un dispositivo. Todas las funciones son funciones de tipo de resolución y aceptan el nombre del campo que contiene el nombre de host, representado como una cadena, como entrada.
| Función | Campos extendidos | Descripción |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Analiza el valor del campo especificado y establece los campos de salida en consecuencia. Para obtener más información, vea el ejemplo del artículo sobre el desarrollo de analizadores. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los campos Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los campos Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Similar a _ASIM_ResolveFQDN, pero establece los campos Dvc |
Funciones de identificación de origen
La función _ASIM_GetSourceBySourceType recupera la lista de orígenes asociados a un tipo de origen proporcionado como entrada de la lista de reproducción SourceBySourceType. La función está pensada para escritores analizadores. Para obtener más información, consulte Filtrado por tipo de origen mediante una lista de reproducción.
Pasos siguientes
En este artículo se abordan las funciones de ayuda del modelo de información de seguridad avanzado (ASIM).
Para más información, consulte:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Uso del modelo avanzado de información de seguridad (ASIM)
- Modificación del contenido de Microsoft Sentinel para usar los analizadores del Modelo avanzado de información de seguridad (ASIM)