Udostępnij za pośrednictwem


Lista analizatorów usługi Microsoft Sentinel Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

Ten dokument zawiera listę analizatorów advanced Security Information Model (ASIM). Aby zapoznać się z omówieniem analizatorów ASIM, zapoznaj się z omówieniem analizatorów. Aby zrozumieć, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Analizatory zdarzeń alertów

Aby użyć analizatorów zdarzeń alertów ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:

Source Uwagi Parser
Alerty XDR usługi Defender Zdarzenia alertów XDR w usłudze AlertEvidence Microsoft Defender (w tabeli). ASimAlertEventMicrosoftDefenderXDR
SentinelOne liczba pojedyncza SentinelOne liczba pojedynczych Threats. zdarzeń (w tabeli).SentinelOne_CL ASimAlertEventSentinelOneSingularity

Inspekcja analizatorów zdarzeń

Aby użyć analizatorów zdarzeń inspekcji ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:

Source Uwagi Parser
Zdarzenia administracyjne działania platformy Azure Zdarzenia działania platformy AzureActivity Azure (w tabeli) w kategorii Administrative. ASimAuditEventAzureActivity
Zdarzenia administracyjne programu Exchange 365 Zdarzenia administracyjne programu Exchange zebrane przy użyciu łącznika usługi Office 365 (w OfficeActivity tabeli). ASimAuditEventMicrosoftOffice365
Zdarzenie czyszczenia dziennika systemu Windows Zdarzenie systemu Windows 1102 zebrane przy użyciu łącznika zdarzeń zabezpieczeń agenta usługi Log Analytics (starsza wersja) lub zdarzeń zabezpieczeń agenta usługi Azure Monitor i łączników WEF (przy użyciu SecurityEventtabel , WindowsEventlub Event ). ASimAuditEventMicrosoftWindowsEvents

Analizatory uwierzytelniania

Aby użyć analizatorów uwierzytelniania ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:

  • Logowania do systemu Windows
    • Zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja).
    • Zbierane przy użyciu łączników zdarzeń zabezpieczeń do tabeli SecurityEvent lub przy użyciu łącznika WEF do tabeli WindowsEvent.
    • Zgłaszane jako zdarzenia zabezpieczeń (4624, 4625, 4634 i 4647).
    • raportowany przez usługę Microsoft Defender XDR dla punktu końcowego zebrany przy użyciu łącznika XDR usługi Microsoft Defender.
  • Logowania do systemu Linux
    • raportowany przez usługę Microsoft Defender XDR dla punktu końcowego zebrany przy użyciu łącznika XDR usługi Microsoft Defender.
    • su, sudoi sshd aktywność zgłoszona przy użyciu dziennika systemowego.
    • zgłoszone przez usługę Microsoft Defender do punktu końcowego IoT.
  • Logowania firmy Microsoft Entra zebrane przy użyciu łącznika Microsoft Entra. Oddzielne analizatory są udostępniane dla zwykłych, nieinterakcyjnych, zarządzanych tożsamości i zasad usługi logowania.
  • Logowania platformy AWS zebrane przy użyciu łącznika AWS CloudTrail.
  • Uwierzytelnianie usługi Okta zebrane przy użyciu łącznika Usługi Okta.
  • Dzienniki logowania bazy danych PostgreSQL .

Analizatory DNS

Analizatory DNS ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:

Source Uwagi Parser
Znormalizowane dzienniki DNS Każde zdarzenie znormalizowane podczas pozyskiwania ASimDnsActivityLogs do tabeli. Łącznik DNS agenta usługi Azure Monitor używa ASimDnsActivityLogs tabeli i jest obsługiwany przez _Im_Dns_Native analizator. _Im_Dns_Native
Azure Firewall _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- WIĄZAĆ
- BlucCat
Te same analizatory obsługują wiele źródeł. _Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server Zbierane przy użyciu:
— Łącznik DNS agenta usługi Azure Monitor
- NXlog
— Łącznik DNS dla agenta usługi Log Analytics (starsza wersja)

_Im_Dns_MicrosoftOMSVxx
Zobacz Znormalizowane dzienniki DNS.
_Im_Dns_MicrosoftNXlogVxx
Sysmon dla systemu Windows (zdarzenie 22) Zbierane przy użyciu:
— Agent usługi Azure Monitor
— Agent usługi Log Analytics (starsza wersja)

W przypadku obu agentów obaj zbierają dane do
Event Tabele i WindowsEvent są obsługiwane.
_Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.

Analizatory działań plików

Aby użyć analizatorów działań plików ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:

  • Działanie pliku systemu Windows
    • Zgłoszone przez system Windows (zdarzenie 4663):
      • Zbierane przy użyciu łącznika zdarzeń zabezpieczeń opartych na agencie usługi Azure Monitor do tabeli SecurityEvent.
      • Zbierane przy użyciu łącznika WEF (Przekazywanie zdarzeń systemu Windows) opartego na agencie usługi Azure Monitor do tabeli WindowsEvent.
      • Zbierane przy użyciu łącznika zdarzeń zabezpieczeń opartych na agencie usługi Log Analytics do tabeli SecurityEvent (starsza wersja).
    • Zgłaszane przy użyciu zdarzeń działania pliku Sysmon (zdarzenia 11, 23 i 26):
      • Zbierane przy użyciu łącznika WEF (Przekazywanie zdarzeń systemu Windows) opartego na agencie usługi Azure Monitor do tabeli WindowsEvent.
      • Zbierane przy użyciu agenta usługi Log Analytics do tabeli Event (starsza wersja).
    • Zgłoszone przez usługę Microsoft Defender XDR dla punktu końcowego zebrane przy użyciu łącznika XDR usługi Microsoft Defender.
  • Zdarzenia programu Microsoft Office 365 SharePoint i OneDrive zebrane przy użyciu łącznika aktywności pakietu Office.
  • Usługa Azure Storage, w tym obiekt blob, plik, kolejka i usługa Table Storage.

Analizatory sesji sieciowych

Analizatory sesji sieciowych ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:

Source Uwagi Parser
Znormalizowane dzienniki sesji sieci Każde zdarzenie znormalizowane podczas pozyskiwania ASimNetworkSessionLogs do tabeli. Łącznik zapory dla agenta usługi Azure Monitor używa ASimNetworkSessionLogs tabeli i jest obsługiwany przez _Im_NetworkSession_Native analizator. _Im_NetworkSession_Native
AppGate SDP Dzienniki połączeń IP zebrane przy użyciu dziennika systemowego. _Im_NetworkSession_AppGateSDPVxx
Dzienniki VPC platformy AWS Zbierane przy użyciu łącznika platformy AWS S3. _Im_NetworkSession_AWSVPCVxx
Dzienniki usługi Azure Firewall _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection Zbierane w ramach rozwiązania Azure Monitor VM Insights. _Im_NetworkSession_VMConnectionVxx
Dzienniki sieciowych grup zabezpieczeń platformy Azure Zbierane w ramach rozwiązania Azure Monitor VM Insights. _Im_NetworkSession_AzureNSGVxx
Zapora punktu kontrolnego-1 Zbierane przy użyciu formatu CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA Zbierane przy użyciu łącznika CEF. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Zbierane przy użyciu łącznika interfejsu API Cisco Meraki. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Zbierane przy użyciu łącznika Corelight Zeek. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS Dzienniki połączeń IP zebrane przy użyciu dziennika systemowego. _Im_NetworkSession_FortinetFortiGateVxx
Zapora programu ForcePoint _Im_NetworkSession_ForcePointFirewallVxx
Usługa Microsoft Defender XDR dla punktu końcowego _Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender for IoT micro agent _Im_NetworkSession_MD4IoTAgentVxx
Czujnik usługi Microsoft Defender dla IoT _Im_NetworkSession_MD4IoTSensorVxx
Dzienniki ruchu Palo Alto PanOS Zbierane przy użyciu formatu CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon dla systemu Linux (zdarzenie 3) Zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja). _Im_NetworkSession_LinuxSysmonVxx
Vectra AI Obsługuje parametr pakietu. _Im_NetworkSession_VectraIAVxx
Dzienniki Zapory systemu Windows Zbierane jako zdarzenia systemu Windows przy użyciu agenta usługi Azure Monitor (tabela WindowsEvent) lub agenta usługi Log Analytics (tabela zdarzeń) (starsza wersja). Obsługuje zdarzenia systemu Windows od 5150 do 5159. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Straż straży straży pożarnejOW Zbierane przy użyciu dziennika systemowego. _Im_NetworkSession_WatchGuardFirewareOSVxx
Dzienniki zapory ZIA rozwiązania Zscaler Zbierane przy użyciu formatu CEF. _Im_NetworkSessionZscalerZIAVxx

Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.

Analizatory zdarzeń przetwarzania

Aby użyć analizatorów zdarzeń procesu ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:

  • Tworzenie procesu zdarzeń zabezpieczeń (zdarzenie 4688) zebrane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
  • Zakończenie procesu zdarzeń zabezpieczeń (zdarzenie 4689) zebrane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
  • Tworzenie procesu sysmon (zdarzenie 1), zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
  • Zakończenie procesu sysmon (zdarzenie 5) zebrane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
  • Tworzenie procesu punktu końcowego w usłudze Microsoft Defender XDR

Analizatory zdarzeń rejestru

Aby użyć analizatorów zdarzeń rejestru ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:

  • Aktualizacja rejestru zdarzeń zabezpieczeń (zdarzenia 4657 i 4663) zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
  • Zdarzenia monitorowania rejestru sysmon (zdarzenia 12, 13 i 14) zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
  • Zdarzenia rejestru punktów końcowych w usłudze Microsoft Defender XDR

Analizatory sesji sieci Web

Analizatory sesji sieci Web ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:

Source Uwagi Parser
Znormalizowane dzienniki sesji sieci Web Każde zdarzenie znormalizowane podczas pozyskiwania ASimWebSessionLogs do tabeli. _Im_WebSession_NativeVxx
Dzienniki usług Internet Information Services (IIS) Zbierane przy użyciu łączników usług IIS opartych na agencie usługi Azure Monitor lub agencie usługi Log Analytics (starsza wersja). _Im_WebSession_IISVxx
Dzienniki zagrożeń palo Alto PanOS Zbierane przy użyciu formatu CEF. _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
Strumienie sztucznej inteligencji Vectra Obsługuje parametr pakietu. _Im_WebSession_VectraAIVxx
Zscaler ZIA Zbierane przy użyciu formatu CEF. _Im_WebSessionZscalerZIAVxx

Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.

Następne kroki

Dowiedz się więcej o analizatorach ASIM:

Dowiedz się więcej o usłudze ASIM: