Lista de analizadores del Modelo avanzado de información de seguridad (ASIM) de Microsoft Sentinel (versión preliminar pública).
En este documento se proporciona una lista de analizadores del Modelo avanzado de información de seguridad (ASIM) Para obtener información general sobre los analizadores del ASIM, consulte la información general sobre los analizadores. Para entender cómo encajan los analizadores en la arquitectura de ASIM, consulte el diagrama de la arquitectura de ASIM.
Importante
ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores de eventos de alerta
Para usar analizadores de eventos de alertaS de ASIM, implemente los analizadores desde el repositorio de GitHub de Microsoft Sentinel. Microsoft Sentinel proporciona los siguientes analizadores en los paquetes implementados desde GitHub:
| Origen | Notas | Analizador |
|---|---|---|
| Alertas de XDR de Defender | Eventos de alerta XDR de Microsoft Defender (en la AlertEvidence tabla). |
ASimAlertEventMicrosoftDefenderXDR |
| Singularidad de SentinelOne | Eventos sentinelOne Singularity Threats. (en la SentinelOne_CL tabla). |
ASimAlertEventSentinelOneSingularity |
Auditoría de analizadores de eventos
Para usar analizadores de eventos de auditoría de ASIM, implemente los analizadores desde el repositorio de GitHub de Microsoft Sentinel. Microsoft Sentinel proporciona los siguientes analizadores en los paquetes implementados desde GitHub:
| Origen | Notas | Analizador |
|---|---|---|
| Eventos administrativos de actividad de Azure | Eventos de actividad de Azure (en la tabla AzureActivity) de la categoría Administrative. |
ASimAuditEventAzureActivity |
| Eventos administrativos de Exchange 365 | Eventos administrativos de Exchange recopilados mediante el conector de Office 365 (en la tabla OfficeActivity). |
ASimAuditEventMicrosoftOffice365 |
| Evento de borrado del registro de Windows | Evento de Windows 1102 recopilado mediante el conector eventos de seguridad del agente de Log Analytics (heredado) o los conectores wef y eventos de seguridad del agente de Azure Monitor (mediante las SecurityEventtablas , WindowsEvento Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Analizadores de autenticación
Para usar analizadores de autenticación de ASIM, implemente los analizadores desde el repositorio de GitHub de Microsoft Sentinel. Microsoft Sentinel proporciona los siguientes analizadores en los paquetes implementados desde GitHub:
- Inicios de sesión de Windows
- Se recopila mediante el agente de Azure Monitor o el agente de Log Analytics (heredado).
- Se recopilan mediante los conectores de eventos de seguridad en la tabla SecurityEvent o mediante el conector WEF en la tabla WindowsEvent.
- Se notifican como eventos de seguridad (4624, 4625, 4634 y 4647).
- notificado por XDR de Microsoft Defender para punto de conexión, recopilado mediante el conector XDR de Microsoft Defender.
- Inicios de sesión de Linux
- notificado por XDR de Microsoft Defender para punto de conexión, recopilado mediante el conector XDR de Microsoft Defender.
- Actividad
su,sudoysshdnotificada mediante Syslog. - notificados por el punto de conexión de Microsoft Defender para IoT.
- Inicios de sesión de Microsoft Entra, recopilados mediante el conector de Microsoft Entra. Se proporcionan analizadores independientes para inicios de sesión normales, no interactivos, de identidades administradas y de entidades de servicio.
- Inicios de sesión de AWS, recopilados mediante el conector de AWS CloudTrail.
- Autenticación de Okta, recopilada mediante el conector de Okta.
- Registros de inicio de sesión de PostgreSQL.
Analizadores de DNS
Los analizadores de DNS de ASIM están disponibles en cada área de trabajo. Microsoft Sentinel proporciona los siguientes analizadores predefinidos:
| Origen | Notas | Analizador |
|---|---|---|
| Registros DNS normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimDnsActivityLogs. El conector DNS para el agente de Azure Monitor usa la tabla ASimDnsActivityLogs y es compatible con el analizador _Im_Dns_Native. |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| DNS de GCP | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
Los mismos analizadores admiten varios orígenes. | _Im_Dns_InfobloxNIOSVxx |
| Servidor DNS de Microsoft | Recopilado mediante: - Conector DNS para el agente de Azure Monitor - NXlog - Conector DNS para el agente de Log Analytics (heredado) |
_Im_Dns_MicrosoftOMSVxxConsulte los registros DNS normalizados. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon para Windows (evento 22) | Recopilado mediante: - Agente de Azure Monitor - El agente de Log Analytics (heredado) Para ambos agentes, se admite la recopilación en las tablas Event y WindowsEvent. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Implemente la versión de los analizadores implementados del área de trabajo desde el repositorio de GitHub de Microsoft Sentinel.
Analizadores de actividad de archivos
Para usar analizadores de actividad de archivos de ASIM, implemente los analizadores desde el repositorio de GitHub de Microsoft Sentinel. Microsoft Sentinel proporciona los siguientes analizadores en los paquetes implementados desde GitHub:
- Actividad de archivos de Windows
- Notificado por Windows (evento 4663):
- Recopilado mediante el conector de eventos de seguridad basados en el agente de Azure Monitor en la tabla SecurityEvent.
- Recopilado mediante el conector WEF (reenvío de eventos de Windows) basado en el agente de Azure Monitor a la tabla WindowsEvent.
- Se recopila mediante el conector eventos de seguridad basados en agente de Log Analytics en la tabla SecurityEvent (heredada).
- Notificado mediante eventos de actividad de archivos Sysmon (eventos 11, 23 y 26):
- Recopilado mediante el conector WEF (reenvío de eventos de Windows) basado en el agente de Azure Monitor a la tabla WindowsEvent.
- Se recopila mediante el agente de Log Analytics en la tabla Event (heredada).
- Notificado por XDR de Microsoft Defender para punto de conexión, recopilado mediante el conector XDR de Microsoft Defender.
- Notificado por Windows (evento 4663):
- Eventos de SharePoint y OneDrive de Microsoft Office 365, recopilados mediante el conector de actividad de Office.
- Azure Storage, incluidos Blob, File, Queue y Table Storage.
Analizadores de sesiones de red
Los analizadores de sesión de red de ASIM están disponibles en cada área de trabajo. Microsoft Sentinel proporciona los siguientes analizadores predefinidos:
| Origen | Notas | Analizador |
|---|---|---|
| Registros de sesión de red normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimNetworkSessionLogs. El conector de Firewall para el agente de Azure Monitor usa la tabla ASimNetworkSessionLogs y es compatible con el analizador _Im_NetworkSession_Native. |
_Im_NetworkSession_Native |
| AppGate SDP | Registros de conexión IP recopilados mediante Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Registros de AWS VPC | Recopilados mediante el conector AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Registros de Azure Firewall | _Im_NetworkSession_AzureFirewallVxx |
|
| VMConnection de Azure Monitor | Se recopila como parte de la solución VM Insights de Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Registros de grupos de seguridad de red (NSG) de Azure | Se recopila como parte de la solución VM Insights de Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
| Firewall de punto de control-1 | Se recopilan mediante CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Recopilado mediante el conector CEF | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Recopilado mediante el conector de la API de Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Recopilado mediante el conector de Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Registros de conexión IP recopilados mediante Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Firewall ForcePoint | _Im_NetworkSession_ForcePointFirewallVxx |
|
| XDR de Microsoft Defender para punto de conexión | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microagente de Defender para IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Sensor de Microsoft Defender para IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Registros de tráfico de Palo Alto PanOS | Se recopilan mediante CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon para Linux (evento 3) | Se recopila mediante el agente de Azure Monitor o el agente de Log Analytics (heredado). | _Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Admite el parámetro pack. | _Im_NetworkSession_VectraIAVxx |
| Registros de Firewall de Windows | Se recopilan como eventos de Windows mediante el Agente de Azure Monitor (tabla WindowsEvent) o el Agente de Log Analytics (tabla de eventos) (heredado). Admite los eventos de Windows del 5150 al 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Recopilado mediante Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Registros de firewall de Zscaler ZIA | Se recopilan mediante CEF. | _Im_NetworkSessionZscalerZIAVxx |
Implemente la versión de los analizadores implementados del área de trabajo desde el repositorio de GitHub de Microsoft Sentinel.
Analizadores de eventos de proceso
Para usar analizadores de eventos de proceso de ASIM, implemente los analizadores desde el repositorio de GitHub de Microsoft Sentinel. Microsoft Sentinel proporciona los siguientes analizadores en los paquetes implementados desde GitHub:
- Creación del proceso de eventos de seguridad (evento 4688), recopilado mediante el agente de Azure Monitor o el agente de Log Analytics (heredado)
- Terminación del proceso de eventos de seguridad (evento 4689), recopilado mediante el agente de Azure Monitor o el agente de Log Analytics (heredado)
- Creación de procesos de Sysmon (evento 1), recopilado mediante el agente de Azure Monitor o el agente de Log Analytics (heredado)
- Terminación del proceso de Sysmon (evento 5), recopilado mediante el agente de Azure Monitor o el agente de Log Analytics (heredado)
- Creación de procesos de XDR de Microsoft Defender para punto de conexión
Analizadores de eventos del Registro
Para usar analizadores de eventos del Registro de ASIM, implemente los analizadores desde el repositorio de GitHub de Microsoft Sentinel. Microsoft Sentinel proporciona los siguientes analizadores en los paquetes implementados desde GitHub:
- Actualización del registro de eventos de seguridad (eventos 4657 y 4663), recopilados mediante el agente de Azure Monitor o el agente de Log Analytics (heredado)
- Eventos de supervisión del registro de Sysmon (eventos 12, 13 y 14), recopilados mediante el agente de Azure Monitor o el agente de Log Analytics (heredado)
- Eventos del Registro XDR de Microsoft Defender para punto de conexión
Analizadores de sesiones web
Los analizadores de sesión web de ASIM están disponibles en cada área de trabajo. Microsoft Sentinel proporciona los siguientes analizadores predefinidos:
| Origen | Notas | Analizador |
|---|---|---|
| Registros de sesión web normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimWebSessionLogs. |
_Im_WebSession_NativeVxx |
| Registros de Internet Information Services (IIS) | Se recopila mediante el agente de Azure Monitor o los conectores de IIS basados en el agente de Log Analytics (heredado). | _Im_WebSession_IISVxx |
| Registros de amenazas de Palo Alto PanOS | Se recopilan mediante CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI Streams | Admite el parámetro pack. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Se recopilan mediante CEF. | _Im_WebSessionZscalerZIAVxx |
Implemente la versión de los analizadores implementados del área de trabajo desde el repositorio de GitHub de Microsoft Sentinel.
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Uso de analizadores de ASIM
- Desarrollo de analizadores de ASIM personalizados
- Administración de analizadores de ASIM
Más información sobre ASIM:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)