Freigeben über


Liste der ASIM-Parser (Advanced Security Information Model) für Microsoft Sentinel (öffentliche Vorschau)

Dieses Dokument enthält eine Liste der ASIM-Parser (Advanced Security Information Model). Eine Übersicht über ASIM-Parser finden Sie in der Übersicht über Parser. Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.

Wichtig

ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Warnungsereignisparser

Um ASIM-Ereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:

Quelle Hinweise Parser
Defender XDR-Warnungen Microsoft Defender XDR-Warnungsereignisse (in der AlertEvidence Tabelle). ASimAlertEventMicrosoftDefenderXDR
SentinelOne Singularity SentinelOne Singularity-Ereignisse Threats. (in der SentinelOne_CL Tabelle). ASimAlertEventSentinelOneSingularity

Überwachungsereignisparser

Um ASIM-Überwachungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:

Quelle Hinweise Parser
Administrative Azure-Aktivitätsereignisse Azure-Aktivitätsereignisse (in der AzureActivity-Tabelle) in der Kategorie Administrative. ASimAuditEventAzureActivity
Administrative Exchange 365-Ereignisse Administrative Exchange-Ereignisse, die mithilfe des Office 365-Connectors (in der OfficeActivity-Tabelle) erfasst werden. ASimAuditEventMicrosoftOffice365
Windows-Protokolllöschereignisse Windows-Ereignis 1102, das mit dem Log Analytics Agent Security Events Connector (Legacy) oder dem Azure Monitor Agent Security Events and WEF Connectors (mit den SecurityEvent, WindowsEventoder Event Tabellen) gesammelt wurde. ASimAuditEventMicrosoftWindowsEvents

Authentifizierungsparser

Um ASIM-Authentifizierungsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:

  • Windows-Anmeldungen
    • Gesammelt mit Azure Monitor Agent oder log Analytics Agent (Legacy).
    • Die Erfassung erfolgt entweder über die Connectors für sicherheitsrelevante Ereignisse in die SecurityEvent-Tabelle oder über den WEF-Connector in die WindowsEvent-Tabelle.
    • Als sicherheitsrelevante Ereignisse gemeldet (4624, 4625, 4634 und 4647).
    • von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
  • Linux-Anmeldungen
    • von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
    • Aktivitäten su, sudo und sshd mithilfe von Syslog gemeldet.
    • die von Microsoft Defender an IoT Endpoint gemeldet werden.
  • Microsoft Entra-Anmeldungen, die mithilfe des Microsoft Entra-Connectors gesammelt wurden. Für reguläre, nicht interaktive, verwaltete Identitäten- und Dienstprinzipalanmeldungen werden eigene Parser bereitgestellt.
  • AWS-Anmeldungen, die mit dem AWS CloudTrail-Connector erfasst werden.
  • Okta-Authentifizierung, die mit dem Okta-Connector erfasst wird.
  • PostgreSQL-Anmeldeprotokolle.

DNS-Parser

ASIM DNS-Parser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:

Quelle Hinweise Parser
Normalisierte DNS-Protokolle Jedes Ereignis, das bei Erfassung in die ASimDnsActivityLogs-Tabelle normalisiert wird. Der DNS-Connector für den Azure Monitor-Agent verwendet die ASimDnsActivityLogs-Tabelle und wird vom _Im_Dns_Native-Parser unterstützt. _Im_Dns_Native
Azure Firewall _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BIND
- BlucCat
Dieselben Parser unterstützen mehrere Quellen. _Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server Erfasst mit:
– DNS-Connector für den Azure Monitor-Agent
– NXlog
– DNS-Connector für den Log Analytics-Agent (Legacy)

_Im_Dns_MicrosoftOMSVxx
Siehe „Normalisierte DNS-Protokolle“.
_Im_Dns_MicrosoftNXlogVxx
Sysmon für Windows (Event 22) Erfasst mit:
– Azure Monitor Agent
- Der Log Analytics-Agent (Legacy)

Für beide Agents wird die Sammlung in der
Event- und WindowsEvent-Tabelle unterstützt.
_Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.

Dateiaktivitätsparser

Um ASIM-Dateiaktivitätsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel-GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:

  • Windows-Dateiaktivität
    • Gemeldet von Windows (Ereignis 4663):
      • In der SecurityEvent-Tabelle mit dem Azure Monitor-Agent basierend auf dem Connector für sicherheitsrelevante Ereignisse erfasst.
      • In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
      • Wird mithilfe des Log Analytics Agent-basierten Security Events-Connectors zur SecurityEvent-Tabelle (Legacy) gesammelt.
    • Gemeldet mithilfe von Sysmon-Dateiaktivitätsereignissen (Ereignisse 11, 23 und 26):
      • In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
      • Gesammelt mithilfe des Log Analytics-Agents in der Ereignistabelle (Legacy).
    • Gemeldet von Microsoft Defender XDR für Endpunkt, gesammelt mit dem Microsoft Defender XDR-Connector.
  • Microsoft Office 365 SharePoint- und OneDrive-Ereignisse, die mithilfe des Office-Aktivitätsconnectors gesammelt wurden
  • Azure Storage, einschließlich Blob, File, Queue und Table Storage

Netzwerksitzungsparser

ASIM-Netzwerksitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:

Quelle Hinweise Parser
Normalisierte Netzwerksitzungsprotokolle Jedes Ereignis, das bei Erfassung in die ASimNetworkSessionLogs-Tabelle normalisiert wird. Der Firewallconnector für den Azure Monitor-Agent verwendet die ASimNetworkSessionLogs-Tabelle und wird vom _Im_NetworkSession_Native-Parser unterstützt. _Im_NetworkSession_Native
AppGate SDP IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. _Im_NetworkSession_AppGateSDPVxx
AWS VPC-Protokolle Erfasst über den AWS S3-Connector. _Im_NetworkSession_AWSVPCVxx
Azure Firewall-Protokolle _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. _Im_NetworkSession_VMConnectionVxx
Azure-NSG-Protokolle (Netzwerksicherheitsgruppen) Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. _Im_NetworkSession_AzureNSGVxx
Checkpoint Firewall-1 Erfasst über CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA Erfasst mit dem DNS-Connector. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Erfasst über den Cisco Meraki-API-Connector. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Erfasst über den Corelight Zeek-Connector. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint-Firewall _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR für Endpunkt _Im_NetworkSession_Microsoft365DefenderVxx
Micro-Agent für Microsoft Defender for IoT _Im_NetworkSession_MD4IoTAgentVxx
Microsoft Defender for IoT-Sensor _Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS-Datenverkehrsprotokolle Erfasst über CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon für Linux (Ereignis 3) Gesammelt mit Azure Monitor Agent oder log Analytics Agent (Legacy). _Im_NetworkSession_LinuxSysmonVxx
Vectra AI Unterstützt den pack-Parameter. _Im_NetworkSession_VectraIAVxx
Windows-Firewallprotokolle Gesammelt als Windows-Ereignisse mit Azure Monitor Agent (WindowsEvent-Tabelle) oder log Analytics Agent (Ereignistabelle) (Legacy). Unterstützt Windows -Ereignisse 5150 bis 5159. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW Erfasst über Syslog. _Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA-Firewallprotokolle Erfasst über CEF. _Im_NetworkSessionZscalerZIAVxx

Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.

Prozessereignisparser

Um ASIM-Prozessereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:

  • Prozesserstellung für Sicherheitsereignisse (Ereignis 4688), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
  • Beendigung von Sicherheitsereignissen (Ereignis 4689), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
  • Sysmon-Prozesserstellung (Ereignis 1), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
  • Sysmon-Prozessbeendigung (Ereignis 5), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
  • Microsoft Defender XDR für die Erstellung von Endpunktprozessen

Registrierungsereignisparser

Um ASIM-Registrierungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:

  • Registrierungsupdate für Sicherheitsereignisse (Ereignisse 4657 und 4663), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
  • Sysmon-Registrierungsüberwachungsereignisse (Ereignisse 12, 13 und 14), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
  • Microsoft Defender XDR für Endpunkt-Registrierungsereignisse

Websitzungsparser

ASIM-Websitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:

Quelle Hinweise Parser
Normalisierte Websitzungsprotokolle Jedes Ereignis, das bei Erfassung in die ASimWebSessionLogs-Tabelle normalisiert wird. _Im_WebSession_NativeVxx
Protokolle für Internetinformationsdienste (IIS) Gesammelt mithilfe von Azure Monitor Agent- oder Log Analytics-Agent (legacy)-basierten IIS-Connectors. _Im_WebSession_IISVxx
Palo Alto PanOS-Bedrohungsprotokolle Erfasst über CEF. _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
Vectra AI Streams Unterstützt den pack-Parameter. _Im_WebSession_VectraAIVxx
Zscaler ZIA Erfasst über CEF. _Im_WebSessionZscalerZIAVxx

Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.

Nächste Schritte

Weitere Informationen zu ASIM-Parsern finden Sie hier:

Weitere Informationen zu ASIM: