次の方法で共有

Microsoft Sentinel Advanced Security Information Model (ASIM) パーサーの一覧 (パブリック プレビュー)

  • [アーティクル]

このドキュメントでは、高度なセキュリティ情報モデル (ASIM) パーサーの一覧について説明します。 ASIM パーサーの概要については、パーサーの概要を参照してください。 パーサーが ASIM アーキテクチャにどのように組み込まれているかを理解するには、ASIM アーキテクチャの図を参照してください。

重要

現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

アラート イベント パーサー

ASIM アラート イベント パーサーを使用するには、 Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。

ソース パーサー
Defender XDR アラート Microsoft Defender XDR アラート イベント ( AlertEvidence 表)。 ASimAlertEventMicrosoftDefenderXDR
SentinelOne Singularity SentinelOne Singularity Threats. イベント ( SentinelOne_CL テーブル内)。 ASimAlertEventSentinelOneSingularity

監査イベント パーサー

ASIM 監査イベント パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。

ソース パーサー
Azure アクティビティ管理イベント カテゴリ Administrative 内の Azure アクティビティ イベント (AzureActivity テーブル内)。 ASimAuditEventAzureActivity
Exchange 365 管理イベント Office 365 コネクタを使用して収集された Exchange 管理イベント (OfficeActivity テーブル内)。 ASimAuditEventMicrosoftOffice365
Windows ログの消去イベント Log Analytics エージェントセキュリティ イベント コネクタ (レガシ) または Azure Monitor エージェントのセキュリティ イベントと WEF コネクタ ( SecurityEventWindowsEvent、または Event テーブルを使用) を使用して収集された Windows イベント 1102。 ASimAuditEventMicrosoftWindowsEvents

認証パーサー

ASIM 認証パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。

  • Windows サインイン
    • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集されます。
    • セキュリティ イベント コネクタを使用して SecurityEvent テーブルに収集されるか、WEF コネクタを使用して WindowsEvent テーブルに収集されます。
    • セキュリティイベント (4624、4625、4634、および 4647) として報告されます。
    • Microsoft Defender XDR for Endpoint によって報告され、Microsoft Defender XDR コネクタを使用して収集されます。
  • Linux サインイン
    • Microsoft Defender XDR for Endpoint によって報告され、Microsoft Defender XDR コネクタを使用して収集されます。
    • Syslog を使用して報告された susudo、および sshd アクティビティ。
    • Microsoft Defender によって IoT エンドポイントに報告されました。
  • Microsoft Entra サインイン。Microsoft Entra コネクタを使用して収集されます。 標準、非対話型、マネージド ID、サービス プリンシパルの各サインインには、個別のパーサーが用意されています。
  • AWS サインイン。AWS CloudTrail コネクタを使用して収集されます。
  • Okta 認証。Okta コネクタを使用して収集されます。
  • PostgreSQL サインイン ログ。

DNS パーサー

ASIM DNS パーサーは、すべてのワークスペースで使用できます。 Microsoft Sentinel には、次のようなすぐに使えるパーサーが用意されています。

ソース パーサー
正規化された DNS ログ ASimDnsActivityLogs テーブルへの取り込み時に正規化されたすべてのイベント。 Azure Monitor エージェントの DNS コネクタは、ASimDnsActivityLogs テーブルを使用し、_Im_Dns_Native パーサーによってサポートされています。 _Im_Dns_Native
Azure Firewall _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BIND
- BlucCat		 同じパーサーで複数のソースがサポートされます。 _Im_Dns_InfobloxNIOSVxx
Microsoft DNS サーバー 次を使用して収集されます
- Azure Monitor エージェントの DNS コネクタ
- NXlog
- Log Analytics エージェントの DNS コネクタ (レガシ)
_Im_Dns_MicrosoftOMSVxx
「正規化された DNS ログ」を参照してください。
_Im_Dns_MicrosoftNXlogVxx
Windows の Sysmon (イベント 22) 次を使用して収集されます
- Azure Monitor エージェント
- Log Analytics エージェント (レガシ)

両方のエージェントについて、
Event テーブルと WindowsEvent テーブルへの収集がサポートされています。		 _Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Microsoft Sentinel GitHub リポジトリからワークスペースにデプロイされたパーサーのバージョンをデプロイします。

ファイル アクティビティ パーサー

ASIM ファイル アクティビティ パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。

  • Windows ファイル アクティビティ
    • Windows (イベント 4663) によって報告される:
      • Azure Monitor エージェント ベースのセキュリティ イベント コネクタを使用して SecurityEvent テーブルに収集されます。
      • Azure Monitor エージェント ベースの WEF (Windows イベント転送) コネクタを使用して WindowsEvent テーブルに収集されます。
      • SecurityEvent テーブル (レガシ) への Log Analytics エージェント ベースのセキュリティ イベント コネクタを使用して収集されます。
    • Sysmon ファイル アクティビティ イベント (イベント 11、23、および 26) を使用して報告される:
      • Azure Monitor エージェント ベースの WEF (Windows イベント転送) コネクタを使用して WindowsEvent テーブルに収集されます。
      • Log Analytics エージェントを使用してイベント テーブルに収集されます (レガシ)。
    • Microsoft Defender XDR コネクタを使用して収集 Microsoft Defender XDR for Endpoint によって報告されます。
  • Microsoft Office 365 SharePoint と OneDrive のイベント。Office アクティビティ コネクタを使用して収集されます。
  • Azure Storage (Blob、File、Queue、Table Storage を含む)。

ネットワーク セッション パーサー

ASIM ネットワーク セッション パーサーは、すべてのワークスペースで使用できます。 Microsoft Sentinel には、次のようなすぐに使えるパーサーが用意されています。

ソース パーサー
正規化されたネットワーク セッション ログ ASimNetworkSessionLogs テーブルへの取り込み時に正規化されたすべてのイベント。 Azure Monitor エージェントのファイアウォール コネクタは、ASimNetworkSessionLogs テーブルを使用し、_Im_NetworkSession_Native パーサーによってサポートされています。 _Im_NetworkSession_Native
AppGate SDP Syslog を使用して収集された IP 接続ログ。 _Im_NetworkSession_AppGateSDPVxx
AWS VPC ログ AWS S3 コネクタを使用して収集されます。 _Im_NetworkSession_AWSVPCVxx
Azure Firewall ログ _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection Azure Monitor VM Insights ソリューションの一部として収集されます。 _Im_NetworkSession_VMConnectionVxx
Azure ネットワーク セキュリティ グループ (NSG) ログ Azure Monitor VM Insights ソリューションの一部として収集されます。 _Im_NetworkSession_AzureNSGVxx
Checkpoint Firewall-1 CEF を使用して収集されます。 _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA CEF コネクタを使用して収集されます。 _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Cisco Meraki API コネクタを使用して収集されます。 _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Corelight Zeek コネクタを使用して収集されます。 _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS Syslog を使用して収集された IP 接続ログ。 _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint ファイアウォール _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR for Endpoint _Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender for IoT マイクロ エージェント _Im_NetworkSession_MD4IoTAgentVxx
Microsoft Defender for IoT センサー _Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS トラフィック ログ CEF を使用して収集されます。 _Im_NetworkSession_PaloAltoCEFVxx
Sysmon for Linux (イベント 3) Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集されます。 _Im_NetworkSession_LinuxSysmonVxx
Vectra AI pack パラメーターをサポートします。 _Im_NetworkSession_VectraIAVxx
Windows ファイアウォール ログ Azure Monitor エージェント (WindowsEvent テーブル) または Log Analytics エージェント (イベント テーブル) (レガシ) を使用して Windows イベントとして収集されます。 Windows イベント 5150 ~ 5159 をサポートします。 _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW Syslog を使用して収集されます。 _Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA ファイアウォール ログ CEF を使用して収集されます。 _Im_NetworkSessionZscalerZIAVxx

Microsoft Sentinel GitHub リポジトリからワークスペースにデプロイされたパーサーのバージョンをデプロイします。

プロセス イベント パーサー

ASIM プロセス イベント パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。

  • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集されたセキュリティ イベント プロセスの作成 (イベント 4688)
  • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集されたセキュリティ イベント プロセスの終了 (イベント 4689)
  • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集された Sysmon プロセスの作成 (イベント 1)
  • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集された Sysmon プロセス終了 (イベント 5)
  • Microsoft Defender XDR for Endpoint プロセスの作成

レジストリ イベント パーサー

ASIM レジストリ イベント パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。

  • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集されたセキュリティ イベント レジストリ更新プログラム (イベント 4657 および 4663)
  • Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集された Sysmon レジストリ監視イベント (イベント 12、13、および 14)
  • Microsoft Defender XDR for Endpoint レジストリ イベント

Web セッション パーサー

ASIM Web セッション パーサーは、すべてのワークスペースで使用できます。 Microsoft Sentinel には、次のようなすぐに使えるパーサーが用意されています。

ソース パーサー
正規化された Web セッション ログ ASimWebSessionLogs テーブルへの取り込み時に正規化されたすべてのイベント。 _Im_WebSession_NativeVxx
インターネット インフォメーション サービス (IIS) のログ Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) ベースの IIS コネクタを使用して収集されます。 _Im_WebSession_IISVxx
Palo Alto PanOS 脅威ログ CEF を使用して収集されます。 _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
Vectra AI Streams pack パラメーターをサポートします。 _Im_WebSession_VectraAIVxx
Zscaler ZIA CEF を使用して収集されます。 _Im_WebSessionZscalerZIAVxx

Microsoft Sentinel GitHub リポジトリからワークスペースにデプロイされたパーサーのバージョンをデプロイします。

次のステップ

ASIM パーサーの詳細については、次を参照してください。

ASIM の詳細については、次を参照してください。