Liste des analyseurs de l’Advanced SIEM Information Model (ASIM) Microsoft Sentinel (préversion publique)
Ce document fournit la liste des analyseurs ASIM (Advanced Security Information Model). Pour obtenir une vue d’ensemble des analyseurs ASIM, reportez-vous à la vue d’ensemble des analyseurs. Pour comprendre le fonctionnement des analyseurs dans l’architecture ASIM, consultez le Diagramme d’architecture ASIM.
Important
ASIM n’est actuellement disponible qu’en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Auditer les analyseurs d’événements
Pour utiliser des analyseurs d’événements d’audit ASIM, déployez les analyseurs à partir du dépôt GitHub Microsoft Sentinel. Microsoft Sentinel fournit les analyseurs suivants dans les packages déployés depuis GitHub :
| Source | Remarques | Parser |
|---|---|---|
| Événements d’administration d’activité Azure | Événements d’activité Azure (dans la table AzureActivity) dans la catégorie Administrative. |
ASimAuditEventAzureActivity |
| Événements d’administration Exchange 365 | Événements d’administration Exchange collectés en utilisant le connecteur Office 365 (dans la table OfficeActivity). |
ASimAuditEventMicrosoftOffice365 |
| Événement d’effacement du journal Windows | Événement Windows 1102 collecté en utilisant le connecteur Événements de sécurité de l’agent Log Analytics, ou les connecteurs Événements de sécurité de l’agent Azure Monitor et WEF (en utilisant les tables SecurityEvent, WindowsEvent ou Event). |
ASimAuditEventMicrosoftWindowsEvents |
Analyseurs d’authentification
Pour utiliser des analyseurs d’authentification ASIM, déployez les analyseurs à partir du dépôt GitHub Microsoft Sentinel. Microsoft Sentinel fournit les analyseurs suivants dans les packages déployés depuis GitHub :
- Connexions Windows
- Collectées à l’aide de l’Agent Log Analytics ou de l’Agent Azure Monitor.
- Collectées à l’aide des connecteurs d’évènements de sécurité vers le tableau SecurityEvent ou à l’aide du connecteur WEF vers le tableau WindowsEvent.
- Signalé comme événement de sécurité (4624, 4625, 4634 et 4647).
- signalé par Microsoft Defender XDR pour point de terminaison, collecté à l’aide du connecteur Microsoft Defender XDR.
- Connexions Linux
- signalé par Microsoft Defender XDR pour point de terminaison, collecté à l’aide du connecteur Microsoft Defender XDR.
- Activités
su,suduetsshdsignalées à l’aide de Syslog. - signalées par Microsoft Defender au point de terminaison IoT.
- Connexions Microsoft Entra, collectées à l’aide du connecteur Microsoft Entra. Des analyseurs distincts sont fournis pour les connexions de principaux de service et d’identités managées non interactives standard.
- Connexions AWS, collectées avec le connecteur AWS CloudTrail.
- Authentification Okta, collectée avec le connecteur Okta.
- Journaux de connexion PostgreSQL.
Analyseurs DNS
Les analyseurs DNS ASIM sont disponibles dans chaque espace de travail. Microsoft Sentinel fournit les analyseurs prêts à l’emploi suivants :
| Source | Remarques | Parser |
|---|---|---|
| Journaux DNS normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimDnsActivityLogs. Le connecteur DNS pour l’agent Azure Monitor utilise la table ASimDnsActivityLogs et est pris en charge par l’analyseur _Im_Dns_Native. |
_Im_Dns_Native |
| Pare-feu Azure | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| DNS GCP | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
Les mêmes analyseurs prennent en charge plusieurs sources. | _Im_Dns_InfobloxNIOSVxx |
| Serveur DNS Microsoft | Collecté avec : - Connecteur DNS pour l’agent Log Analytics - Connecteur DNS pour l’agent Azure Monitor - NXlog |
_Im_Dns_MicrosoftOMSVxxConsultez Journaux DNS normalisés. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon pour Windows (événement 22) | Collecté avec : - l’agent Log Analytics - l’agent Azure Monitor Pour les deux agents, la collecte vers les tables Event et WindowsEvent est prise en charge. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Déployez la version des analyseurs déployés dans l’espace de travail à partir du dépôt GitHub Microsoft Sentinel.
Analyseurs d’activité de fichier
Pour utiliser les analyseurs d’activités de fichier ASIM, déployez les analyseurs à partir du dépôt GitHub Microsoft Sentinel. Microsoft Sentinel fournit les analyseurs suivants dans les packages déployés depuis GitHub :
- Activité de fichiers Windows
- Signalé par Windows (événement 4663) :
- Collecté à l’aide du connecteur Événements de sécurité basés sur l’agent Log Analytics dans la table SecurityEvent.
- Collecté à l’aide du connecteur Événements de sécurité basés sur l’agent Azure Monitor dans la table SecurityEvent.
- Collecté avec le connecteur WEF (Transfert d’événements Windows) basé sur l’agent Azure Monitor à la table WindowsEvent.
- Signalé avec des événements d’activité de fichier Sysmon (événements 11, 23 et 26) :
- Collecté à l’aide de l’agent Log Analytics dans la table d’événements.
- Collecté avec le connecteur WEF (Transfert d’événements Windows) basé sur l’agent Azure Monitor à la table WindowsEvent.
- Signalé par Microsoft Defender XDR pour point de terminaison, collecté à l’aide du connecteur Microsoft Defender XDR.
- Signalé par Windows (événement 4663) :
- Événements Microsoft Office 365 SharePoint et OneDrive, collectés à l’aide du connecteur d’activité Office.
- Stockage Azure, notamment le Stockage Blob, le Stockage Fichier, le Stockage File d’attente et le Stockage Table.
Analyseurs de session réseau
Les analyseurs de session réseau ASIM sont disponibles dans chaque espace de travail. Microsoft Sentinel fournit les analyseurs prêts à l’emploi suivants :
| Source | Remarques | Parser |
|---|---|---|
| Journaux de session réseau normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimNetworkSessionLogs. Le connecteur de pare-feu pour l’agent Azure Monitor utilise la table ASimNetworkSessionLogs et est pris en charge par l’analyseur _Im_NetworkSession_Native. |
_Im_NetworkSession_Native |
| AppGate SDP | Journaux de connexion IP collectés à l’aide de Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Journaux AWS VPC | Collecté à l’aide du connecteur AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Journaux d’activité de Pare-feu Azure | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Collecté dans le cadre de la solution VM Insights d’Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Journaux Groupes de sécurité réseau Azure (NSG) | Collecté dans le cadre de la solution VM Insights d’Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
| Pare-feu de point de contrôle-1 | Collecté avec CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Collecté avec le connecteur CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Collecté à l’aide du connecteur d’API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Collecté à l’aide du connecteur Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Journaux de connexion IP collectés à l’aide de Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR pour point de terminaison | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Micro-agent Microsoft Defender pour IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Capteur Microsoft Defender pour IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Journaux de trafic Palo Alto PanOS | Collecté avec CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon pour Linux (événement 3) | Collecté avec l’agent Log Analytics ou l’agent Azure Monitor. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Prend en charge le paramètre pack. | _Im_NetworkSession_VectraIAVxx |
| Journaux du pare-feu Windows | Collecté en tant qu’événements Windows à l’aide de l’agent Log Analytics (table Event) ou de l’agent Azure Monitor (table WindowsEvent). Prend en charge les événements Windows 5150 à 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Collecté à l’aide de Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Journaux du pare-feu Zscaler ZIA | Collecté avec CEF. | _Im_NetworkSessionZscalerZIAVxx |
Déployez la version des analyseurs déployés dans l’espace de travail à partir du dépôt GitHub Microsoft Sentinel.
Analyseurs d’événements de processus
Pour utiliser les analyseurs d’événements de processus ASIM, déployez les analyseurs à partir du dépôt GitHub Microsoft Sentinel. Microsoft Sentinel fournit les analyseurs suivants dans les packages déployés depuis GitHub :
- Création du processus des événements de sécurité (événement 4688), collecté à l’aide de l’Agent Log Analytics ou de l’Agent Azure Monitor
- Arrêt du processus des événements de sécurité (événement 4689), collecté à l’aide de l’Agent Log Analytics ou de l’Agent Azure Monitor
- Création du processus sysmon (événement 1), collecté à l’aide de l’Agent Log Analytics ou de l’Agent Azure Monitor
- Arrêt du processus sysmon (événement 5), collecté à l’aide de l’Agent Log Analytics ou de l’Agent Azure Monitor
- Création du processus microsoft Defender XDR pour point de terminaison
Analyseurs d’événements de Registre
Pour utiliser les analyseurs d’événements de Registre ASIM, déployez les analyseurs à partir du dépôt GitHub Microsoft Sentinel. Microsoft Sentinel fournit les analyseurs suivants dans les packages déployés depuis GitHub :
- Mise à jour du registre des événements de sécurité (événement 4657 et 4663), collectés en utilisant l’agent Log Analytics ou l’agent Azure Monitor
- Événements de surveillance du Registre sysmon (événements 12, 13 et 14) , collectés à l’aide de l’Agent Log Analytics ou de l’Agent Azure Monitor
- Événements de Registre microsoft Defender XDR pour point de terminaison
Analyseurs de session web
Les analyseurs de session web ASIM sont disponibles dans chaque espace de travail. Microsoft Sentinel fournit les analyseurs prêts à l’emploi suivants :
| Source | Remarques | Parser |
|---|---|---|
| Journaux de session Web normalisée | Tout événement normalisé lors de l’ingestion dans la table ASimWebSessionLogs. |
_Im_WebSession_NativeVxx |
| Journaux d’Internet Information Services (IIS) | Collecté à l’aide des connecteurs IIS AMA ou l’agent Log Analytics. | _Im_WebSession_IISVxx |
| Journaux de menace Palo Alto PanOS | Collecté avec CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Flux IA Vectra | Prend en charge le paramètre pack. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Collecté avec CEF. | _Im_WebSessionZscalerZIAVxx |
Déployez la version des analyseurs déployés dans l’espace de travail à partir du dépôt GitHub Microsoft Sentinel.
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
En savoir plus sur ASIM :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Schémas de l’Advanced SIEM Information Model (ASIM)
- Contenu de l’Advanced SIEM Information Model (ASIM)