ASIM(고급 보안 정보 모델) 도우미 함수(공개 미리 보기)
ASIM(고급 보안 정보 모델) 도우미 기능은 KQL 언어를 확장하여 쓰기 파서에서 정규화된 데이터와 상호 작용할 수 있도록 하는 기능을 제공합니다.
보강 조회 함수
보강 조회 함수는 숫자 표현을 기반으로 알려진 값을 쉽게 조회하는 방법을 제공합니다. 이러한 함수는 이벤트가 짧은 형식 숫자 코드를 사용하는 경우가 많지만 사용자는 텍스트 형식을 선호하기 때문에 유용합니다. 대부분의 함수에는 다음 두 가지 형식이 있습니다.
조회 버전은 숫자 코드를 입력으로 수락하고 텍스트 형식을 반환하는 스칼라 함수입니다.
조회 버전에서 다음 KQL 코드 조각을 사용합니다.
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)확인 버전은 다음과 같은 테이블 형식 함수입니다.
- KQL 파이프라인 연산자로 사용됩니다.
- 조회할 값을 보유하는 필드의 이름을 입력으로 허용합니다.
- 일반적으로 입력 값과 결과 조회 값을 모두 포함하는 ASIM 필드를 설정합니다.
확인 버전에서 다음 KQL 코드 조각을 사용합니다.
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)함수는 조회 결과로 ASIM 필드를 자동으로 채웁니다.
확인 버전은 ASIM 파서에서 사용하는 것이 낫지만 조회 버전은 범용 쿼리에서 유용합니다. 보강 조회 함수가 둘 이상의 값을 반환해야 하는 경우 항상 확인 형식을 사용합니다.
스칼라 및 테이블 형식 함수(각각 조회 및 확인 버전으로 표시됨)에 대한 자세한 내용은 Kusto 설명서의 사용자 정의 함수를 참조하세요.
조회 형식 함수
| 함수 | 입력* | 출력 | 설명 |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | 숫자 DNS 쿼리 형식 코드 | 쿼리 형식 이름 | IANA에 정의된 대로 숫자 DNS RR(리소스 레코드) 형식을 해당 이름으로 변환합니다. |
| _ASIM_LookupDnsResponseCode | 숫자 DNS 응답 코드 | 응답 코드 이름 | IANA에 정의된 대로 숫자 DNS RCODE(응답 코드)를 해당 이름으로 변환합니다. |
| _ASIM_LookupICMPType | 숫자 ICMP 형식 | ICMP 형식 이름 | IANA에서 정의 한 대로 숫자 ICMP 형식을 해당 이름으로 변환 |
| _ASIM_LookupNetworkProtocol | IP 프로토콜 번호 | IP 프로토콜 이름 | IANA에서 정의 한 대로 숫자 IP 프로토콜 코드를 해당 이름으로 변환 |
형식 함수 확인
확인 형식 함수는 조회 함수와 동일한 작업을 수행하지만 문자열 상수로 제공된 필드 이름을 입력으로 수락하고 미리 정의된 필드를 출력으로 설정합니다. 입력 값도 미리 정의된 필드에 할당됩니다.
| 함수 | 확장 필드 |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType 입력 값의 경우- DnsQueryTypeName 출력 값의 경우 |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode 입력 값의 경우- DnsResponseCodeName 출력 값의 경우 |
| _ASIM_ResolveICMPType | - NetworkIcmpCode 입력 값의 경우- NetworkIcmpType 조회 값의 경우 |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber 입력 값의 경우- NetworkProtocol 조회 값의 경우 |
파서 도우미 함수
다음 함수는 파서에서 일반적이며 파서 개발을 가속화하는 데 유용한 작업을 수행합니다.
디바이스 확인 함수
디바이스 확인 함수는 호스트 이름을 분석하고 도메인 정보와 도메인 표기법 유형이 있는지 여부를 확인합니다. 그런 다음 함수는 디바이스를 나타내는 관련 ASIM 필드를 채웁니다. 모든 함수는 확인 형식 함수이며 문자열로 표현되는 호스트 이름을 입력으로 포함하는 필드의 이름을 허용합니다.
| 함수 | 확장 필드 | 설명 |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
지정된 필드의 값을 분석하고 그에 따라 출력 필드를 설정합니다. 자세한 내용은 파서 개발 문서에서 예를 참조하세요. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
_ASIM_ResolveFQDN유사하지만 필드를 설정합니다.Src |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
_ASIM_ResolveFQDN유사하지만 필드를 설정합니다.Dst |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
_ASIM_ResolveFQDN유사하지만 필드를 설정합니다.Dvc |
원본 식별 함수
_ASIM_GetSourceBySourceType 함수는 관심 목록의 입력 SourceBySourceType 으로 제공된 원본 형식과 연결된 원본 목록을 검색합니다. 이 함수는 파서 작성기에서 사용하기 위한 것입니다. 자세한 내용은 관심 목록을 사용하여 원본 유형별로 필터링을 참조하세요.
다음 단계
이 문서에서는 ASIM(고급 보안 정보 모델) 문서 함수에 대해 설명합니다.
자세한 내용은 다음을 참조하세요.