Liste der ASIM-Parser (Advanced Security Information Model) für Microsoft Sentinel (öffentliche Vorschau)
Dieses Dokument enthält eine Liste der ASIM-Parser (Advanced Security Information Model). Eine Übersicht über ASIM-Parser finden Sie in der Übersicht über Parser. Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Wichtig
ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Warnungsereignisparser
Um ASIM-Ereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
Quelle | Hinweise | Parser |
---|---|---|
Defender XDR-Warnungen | Microsoft Defender XDR-Warnungsereignisse (in der AlertEvidence Tabelle). |
ASimAlertEventMicrosoftDefenderXDR |
SentinelOne Singularity | SentinelOne Singularity-Ereignisse Threats. (in der SentinelOne_CL Tabelle). |
ASimAlertEventSentinelOneSingularity |
Überwachungsereignisparser
Um ASIM-Überwachungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
Quelle | Hinweise | Parser |
---|---|---|
Administrative Azure-Aktivitätsereignisse | Azure-Aktivitätsereignisse (in der AzureActivity -Tabelle) in der Kategorie Administrative . |
ASimAuditEventAzureActivity |
Administrative Exchange 365-Ereignisse | Administrative Exchange-Ereignisse, die mithilfe des Office 365-Connectors (in der OfficeActivity -Tabelle) erfasst werden. |
ASimAuditEventMicrosoftOffice365 |
Windows-Protokolllöschereignisse | Windows-Ereignis 1102, das mit dem Log Analytics Agent Security Events Connector (Legacy) oder dem Azure Monitor Agent Security Events and WEF Connectors (mit den SecurityEvent , WindowsEvent oder Event Tabellen) gesammelt wurde. |
ASimAuditEventMicrosoftWindowsEvents |
Authentifizierungsparser
Um ASIM-Authentifizierungsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Windows-Anmeldungen
- Gesammelt mit Azure Monitor Agent oder log Analytics Agent (Legacy).
- Die Erfassung erfolgt entweder über die Connectors für sicherheitsrelevante Ereignisse in die SecurityEvent-Tabelle oder über den WEF-Connector in die WindowsEvent-Tabelle.
- Als sicherheitsrelevante Ereignisse gemeldet (4624, 4625, 4634 und 4647).
- von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
- Linux-Anmeldungen
- von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
- Aktivitäten
su
,sudo
undsshd
mithilfe von Syslog gemeldet. - die von Microsoft Defender an IoT Endpoint gemeldet werden.
- Microsoft Entra-Anmeldungen, die mithilfe des Microsoft Entra-Connectors gesammelt wurden. Für reguläre, nicht interaktive, verwaltete Identitäten- und Dienstprinzipalanmeldungen werden eigene Parser bereitgestellt.
- AWS-Anmeldungen, die mit dem AWS CloudTrail-Connector erfasst werden.
- Okta-Authentifizierung, die mit dem Okta-Connector erfasst wird.
- PostgreSQL-Anmeldeprotokolle.
DNS-Parser
ASIM DNS-Parser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
Quelle | Hinweise | Parser |
---|---|---|
Normalisierte DNS-Protokolle | Jedes Ereignis, das bei Erfassung in die ASimDnsActivityLogs -Tabelle normalisiert wird. Der DNS-Connector für den Azure Monitor-Agent verwendet die ASimDnsActivityLogs -Tabelle und wird vom _Im_Dns_Native -Parser unterstützt. |
_Im_Dns_Native |
Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - BIND - BlucCat |
Dieselben Parser unterstützen mehrere Quellen. | _Im_Dns_InfobloxNIOSVxx |
Microsoft DNS Server | Erfasst mit: – DNS-Connector für den Azure Monitor-Agent – NXlog – DNS-Connector für den Log Analytics-Agent (Legacy) |
_Im_Dns_MicrosoftOMSVxx Siehe „Normalisierte DNS-Protokolle“. _Im_Dns_MicrosoftNXlogVxx |
Sysmon für Windows (Event 22) | Erfasst mit: – Azure Monitor Agent - Der Log Analytics-Agent (Legacy) Für beide Agents wird die Sammlung in der Event - und WindowsEvent -Tabelle unterstützt. |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Dateiaktivitätsparser
Um ASIM-Dateiaktivitätsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel-GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Windows-Dateiaktivität
- Gemeldet von Windows (Ereignis 4663):
- In der SecurityEvent-Tabelle mit dem Azure Monitor-Agent basierend auf dem Connector für sicherheitsrelevante Ereignisse erfasst.
- In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
- Wird mithilfe des Log Analytics Agent-basierten Security Events-Connectors zur SecurityEvent-Tabelle (Legacy) gesammelt.
- Gemeldet mithilfe von Sysmon-Dateiaktivitätsereignissen (Ereignisse 11, 23 und 26):
- In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
- Gesammelt mithilfe des Log Analytics-Agents in der Ereignistabelle (Legacy).
- Gemeldet von Microsoft Defender XDR für Endpunkt, gesammelt mit dem Microsoft Defender XDR-Connector.
- Gemeldet von Windows (Ereignis 4663):
- Microsoft Office 365 SharePoint- und OneDrive-Ereignisse, die mithilfe des Office-Aktivitätsconnectors gesammelt wurden
- Azure Storage, einschließlich Blob, File, Queue und Table Storage
Netzwerksitzungsparser
ASIM-Netzwerksitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
Quelle | Hinweise | Parser |
---|---|---|
Normalisierte Netzwerksitzungsprotokolle | Jedes Ereignis, das bei Erfassung in die ASimNetworkSessionLogs -Tabelle normalisiert wird. Der Firewallconnector für den Azure Monitor-Agent verwendet die ASimNetworkSessionLogs -Tabelle und wird vom _Im_NetworkSession_Native -Parser unterstützt. |
_Im_NetworkSession_Native |
AppGate SDP | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. | _Im_NetworkSession_AppGateSDPVxx |
AWS VPC-Protokolle | Erfasst über den AWS S3-Connector. | _Im_NetworkSession_AWSVPCVxx |
Azure Firewall-Protokolle | _Im_NetworkSession_AzureFirewallVxx |
|
Azure Monitor VMConnection | Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. | _Im_NetworkSession_VMConnectionVxx |
Azure-NSG-Protokolle (Netzwerksicherheitsgruppen) | Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. | _Im_NetworkSession_AzureNSGVxx |
Checkpoint Firewall-1 | Erfasst über CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | Erfasst mit dem DNS-Connector. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Erfasst über den Cisco Meraki-API-Connector. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Erfasst über den Corelight Zeek-Connector. | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint-Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
Microsoft Defender XDR für Endpunkt | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Micro-Agent für Microsoft Defender for IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
Microsoft Defender for IoT-Sensor | _Im_NetworkSession_MD4IoTSensorVxx |
|
Palo Alto PanOS-Datenverkehrsprotokolle | Erfasst über CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon für Linux (Ereignis 3) | Gesammelt mit Azure Monitor Agent oder log Analytics Agent (Legacy). | _Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | Unterstützt den pack-Parameter. | _Im_NetworkSession_VectraIAVxx |
Windows-Firewallprotokolle | Gesammelt als Windows-Ereignisse mit Azure Monitor Agent (WindowsEvent-Tabelle) oder log Analytics Agent (Ereignistabelle) (Legacy). Unterstützt Windows -Ereignisse 5150 bis 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Watchguard FirewareOW | Erfasst über Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Zscaler ZIA-Firewallprotokolle | Erfasst über CEF. | _Im_NetworkSessionZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Prozessereignisparser
Um ASIM-Prozessereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Prozesserstellung für Sicherheitsereignisse (Ereignis 4688), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Beendigung von Sicherheitsereignissen (Ereignis 4689), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Sysmon-Prozesserstellung (Ereignis 1), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Sysmon-Prozessbeendigung (Ereignis 5), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Microsoft Defender XDR für die Erstellung von Endpunktprozessen
Registrierungsereignisparser
Um ASIM-Registrierungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Registrierungsupdate für Sicherheitsereignisse (Ereignisse 4657 und 4663), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Sysmon-Registrierungsüberwachungsereignisse (Ereignisse 12, 13 und 14), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Microsoft Defender XDR für Endpunkt-Registrierungsereignisse
Websitzungsparser
ASIM-Websitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
Quelle | Hinweise | Parser |
---|---|---|
Normalisierte Websitzungsprotokolle | Jedes Ereignis, das bei Erfassung in die ASimWebSessionLogs -Tabelle normalisiert wird. |
_Im_WebSession_NativeVxx |
Protokolle für Internetinformationsdienste (IIS) | Gesammelt mithilfe von Azure Monitor Agent- oder Log Analytics-Agent (legacy)-basierten IIS-Connectors. | _Im_WebSession_IISVxx |
Palo Alto PanOS-Bedrohungsprotokolle | Erfasst über CEF. | _Im_WebSession_PaloAltoCEFVxx |
Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
Vectra AI Streams | Unterstützt den pack-Parameter. | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | Erfasst über CEF. | _Im_WebSessionZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Nächste Schritte
Weitere Informationen zu ASIM-Parsern finden Sie hier:
Weitere Informationen zu ASIM:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)