Seznam analyzátorů Advanced Security Information Model (ASIM) služby Microsoft Sentinel (Public Preview)
Tento dokument obsahuje seznam analyzátorů ADVANCED Security Information Model (ASIM). Přehled analyzátorů ASIM najdete v přehledu analyzátorů. Informace o tom, jak parsery odpovídají architektuře ASIM, najdete v diagramu architektury ASIM.
Důležité
ASIM je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Analyzátory událostí upozornění
Pokud chcete použít analyzátory událostí upozornění ASIM, nasaďte analyzátory z úložiště GitHub služby Microsoft Sentinel. Microsoft Sentinel poskytuje následující analyzátory v balíčcích nasazených z GitHubu:
| Source | Poznámky | Syntaktický analyzátor |
|---|---|---|
| Upozornění XDR v programu Defender | Události upozornění XDR v programu Microsoft Defender (v AlertEvidence tabulce). |
ASimAlertEventMicrosoftDefenderXDR |
| SentinelOne Singularity | SentinelOne Singularity Threats. – události (v SentinelOne_CL tabulce). |
ASimAlertEventSentinelOneSingularity |
Auditování analyzátorů událostí
Pokud chcete použít analyzátory událostí auditu ASIM, nasaďte analyzátory z úložiště GitHub pro Microsoft Sentinel. Microsoft Sentinel poskytuje následující analyzátory v balíčcích nasazených z GitHubu:
| Source | Poznámky | Syntaktický analyzátor |
|---|---|---|
| Události správy aktivit Azure | Události aktivit Azure (v AzureActivity tabulce) v kategorii Administrative. |
ASimAuditEventAzureActivity |
| Události správy Exchange 365 | Události správy Exchange shromážděné pomocí konektoru Office 365 (v OfficeActivity tabulce). |
ASimAuditEventMicrosoftOffice365 |
| Vymazat událost protokolu Systému Windows | Událost Windows 1102 shromážděná pomocí konektoru událostí zabezpečení agenta Log Analytics (starší verze) nebo událostí zabezpečení agenta Azure Monitoru a konektorů WEF (pomocí SecurityEventWindowsEvent, nebo Event tabulek). |
ASimAuditEventMicrosoftWindowsEvents |
Analyzátory ověřování
Pokud chcete použít analyzátory ověřování ASIM, nasaďte analyzátory z úložiště GitHub pro Microsoft Sentinel. Microsoft Sentinel poskytuje následující analyzátory v balíčcích nasazených z GitHubu:
- Přihlášení k Windows
- Shromažďuje se pomocí agenta Azure Monitoru nebo agenta Log Analytics (starší verze).
- Shromažďuje se pomocí konektorů událostí zabezpečení do tabulky SecurityEvent nebo pomocí konektoru WEF do tabulky WindowsEvent.
- Hlášeny jako události zabezpečení (4624, 4625, 4634 a 4647).
- hlásí XDR v programu Microsoft Defender pro koncový bod shromážděný pomocí konektoru XDR v programu Microsoft Defender.
- Přihlášení k Linuxu
- hlásí XDR v programu Microsoft Defender pro koncový bod shromážděný pomocí konektoru XDR v programu Microsoft Defender.
su,sudoasshdaktivity hlášené pomocí Syslogu.- ohlásil Microsoft Defender do koncového bodu IoT.
- Přihlášení Microsoft Entra shromážděná pomocí konektoru Microsoft Entra. Samostatné analyzátory jsou k dispozici pro běžná přihlášení k neinteraktivním, neinteraktivním, spravovaným identitám a principům služeb.
- Přihlášení AWS shromážděná pomocí konektoru AWS CloudTrail.
- Ověřování Okta shromážděné pomocí konektoru Okta.
- Protokoly přihlašování PostgreSQL .
Analyzátory DNS
Analyzátory DNS ASIM jsou k dispozici v každém pracovním prostoru. Microsoft Sentinel poskytuje následující předefinované analyzátory:
| Source | Poznámky | Syntaktický analyzátor |
|---|---|---|
| Normalizované protokoly DNS | Jakákoli událost normalizovaná při příjmu ASimDnsActivityLogs dat do tabulky. Konektor DNS pro agenta Azure Monitoru ASimDnsActivityLogs používá tabulku a je podporován analyzátorem _Im_Dns_Native . |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - VÁZAT - BlucCat |
Stejné analyzátory podporují více zdrojů. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | Shromážděno pomocí: – Konektor DNS pro agenta Služby Azure Monitor – NXlog – Konektor DNS pro agenta Log Analytics (starší verze) |
_Im_Dns_MicrosoftOMSVxxViz normalizované protokoly DNS. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon pro Windows (událost 22) | Shromážděno pomocí: – Agent služby Azure Monitor – Agent Log Analytics (starší verze) U obou agentů se obě shromažďují do Event a WindowsEvent tabulky jsou podporovány. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Nasaďte verzi analyzátorů pracovního prostoru z úložiště GitHub pro Microsoft Sentinel.
Analyzátory aktivit souborů
Pokud chcete použít analyzátory aktivit souborů ASIM, nasaďte analyzátory z úložiště GitHub služby Microsoft Sentinel. Microsoft Sentinel poskytuje následující analyzátory v balíčcích nasazených z GitHubu:
- Aktivita souborů Systému Windows
- Hlášeno systémem Windows (událost 4663):
- Shromažďuje se pomocí konektoru Událostí zabezpečení založeného na agentech Azure Monitoru do tabulky SecurityEvent.
- Shromažďuje se pomocí konektoru WEF (Předávání událostí Windows) na základě agenta Azure Monitoru do tabulky WindowsEvent.
- Shromažďuje se pomocí konektoru Událostí zabezpečení založeného na agentech Log Analytics do tabulky SecurityEvent (starší verze).
- Hlášeno pomocí událostí aktivity souboru Sysmon (události 11, 23 a 26):
- Shromažďuje se pomocí konektoru WEF (Předávání událostí Windows) na základě agenta Azure Monitoru do tabulky WindowsEvent.
- Shromažďuje se pomocí agenta Log Analytics do tabulky událostí (starší verze).
- Nahlášený XDR v programu Microsoft Defender pro koncový bod shromážděný pomocí konektoru XDR v programu Microsoft Defender.
- Hlášeno systémem Windows (událost 4663):
- systém Microsoft Office událostí SharePointu a OneDrivu 365 shromážděných pomocí konektoru aktivity Office.
- Azure Storage, včetně objektů blob, souborů, front a table Storage
Analyzátory síťových relací
Analyzátory síťových relací ASIM jsou k dispozici v každém pracovním prostoru. Microsoft Sentinel poskytuje následující předefinované analyzátory:
| Source | Poznámky | Syntaktický analyzátor |
|---|---|---|
| Normalizované protokoly síťových relací | Jakákoli událost normalizovaná při příjmu ASimNetworkSessionLogs dat do tabulky. Konektor brány firewall pro agenta služby Azure Monitor používá ASimNetworkSessionLogs tabulku a je podporován analyzátorem _Im_NetworkSession_Native . |
_Im_NetworkSession_Native |
| AppGate SDP | Protokoly připojení IP shromážděné pomocí syslogu | _Im_NetworkSession_AppGateSDPVxx |
| Protokoly AWS VPC | Shromažďuje se pomocí konektoru AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Protokoly služby Azure Firewall | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Shromažďuje se jako součást řešení Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
| Protokoly skupin zabezpečení sítě Azure (NSG) | Shromažďuje se jako součást řešení Azure Monitor VM Insights. | _Im_NetworkSession_AzureNSGVxx |
| Brána firewall kontrolního bodu 1 | Shromažďuje se pomocí CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Shromažďuje se pomocí konektoru CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Shromažďuje se pomocí konektoru Cisco Meraki API. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Shromažďuje se pomocí konektoru Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Protokoly připojení IP shromážděné pomocí syslogu | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR pro koncový bod | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT micro agent | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Senzor Microsoft Defenderu pro IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Protokoly provozu Palo Alto PanOS | Shromažďuje se pomocí CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon pro Linux (událost 3) | Shromažďuje se pomocí agenta Azure Monitoru nebo agenta Log Analytics (starší verze). | _Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Podporuje parametr balíčku. | _Im_NetworkSession_VectraIAVxx |
| Protokoly brány Windows Firewall | Shromažďuje se jako události Windows pomocí agenta Azure Monitoru (tabulka WindowsEvent) nebo agenta Log Analytics (tabulka událostí) (starší verze). Podporuje události Windows 5150 až 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Strážce FirewareOW | Shromažďuje se pomocí syslogu. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Protokoly brány firewall Zscaler ZIA | Shromažďuje se pomocí CEF. | _Im_NetworkSessionZscalerZIAVxx |
Nasaďte verzi analyzátorů pracovního prostoru z úložiště GitHub pro Microsoft Sentinel.
Analyzátory událostí procesu
Pokud chcete použít analyzátory událostí procesu ASIM, nasaďte analyzátory z úložiště GitHub služby Microsoft Sentinel. Microsoft Sentinel poskytuje následující analyzátory v balíčcích nasazených z GitHubu:
- Vytvoření procesu událostí zabezpečení (událost 4688) shromážděné pomocí agenta služby Azure Monitor nebo agenta Log Analytics (starší verze)
- Ukončení procesu událostí zabezpečení (událost 4689) shromážděné pomocí agenta služby Azure Monitor nebo agenta Log Analytics (starší verze)
- Vytvoření procesu Sysmon (událost 1) shromážděné pomocí agenta Služby Azure Monitor nebo agenta Log Analytics (starší verze)
- Ukončení procesu Sysmon (událost 5) shromážděné pomocí agenta Azure Monitoru nebo agenta Log Analytics (starší verze)
- Vytvoření procesu XDR v programu Microsoft Defender pro koncový bod
Analyzátory událostí registru
Pokud chcete použít analyzátory událostí registru ASIM, nasaďte analyzátory z úložiště GitHub služby Microsoft Sentinel. Microsoft Sentinel poskytuje následující analyzátory v balíčcích nasazených z GitHubu:
- Aktualizace registru událostí zabezpečení (události 4657 a 4663) shromažďované pomocí agenta služby Azure Monitor nebo agenta Log Analytics (starší verze)
- Události monitorování registru Sysmon (události 12, 13 a 14) shromážděné pomocí agenta služby Azure Monitor nebo agenta Log Analytics (starší verze)
- Události registru registru v programu Microsoft Defender pro XDR v programu Microsoft Defender
Analyzátory webových relací
Analyzátory webových relací ASIM jsou k dispozici v každém pracovním prostoru. Microsoft Sentinel poskytuje následující předefinované analyzátory:
| Source | Poznámky | Syntaktický analyzátor |
|---|---|---|
| Normalizované protokoly webových relací | Jakákoli událost normalizovaná při příjmu ASimWebSessionLogs dat do tabulky. |
_Im_WebSession_NativeVxx |
| protokoly Internetová informační služba (IIS) | Shromažďuje se pomocí agenta služby Azure Monitor nebo konektorů IIS založených na agentech Log Analytics (starší verze). | _Im_WebSession_IISVxx |
| Protokoly hrozeb Palo Alto PanOS | Shromažďuje se pomocí CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Datové proudy Vectra AI | Podporuje parametr balíčku. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Shromažďuje se pomocí CEF. | _Im_WebSessionZscalerZIAVxx |
Nasaďte verzi analyzátorů pracovního prostoru z úložiště GitHub pro Microsoft Sentinel.
Další kroky
Další informace o analyzátorech ASIM:
Další informace o ASIM:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
- Přehled rozšířeného modelu informací o zabezpečení (ASIM)
- Schémata advanced Security Information Model (ASIM)
- Obsah rozšířeného modelu informací o zabezpečení (ASIM)