Lista analizatorów usługi Microsoft Sentinel Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Ten dokument zawiera listę analizatorów advanced Security Information Model (ASIM). Aby zapoznać się z omówieniem analizatorów ASIM, zapoznaj się z omówieniem analizatorów. Aby zrozumieć, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Analizatory zdarzeń alertów
Aby użyć analizatorów zdarzeń alertów ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
Source | Uwagi | Parser |
---|---|---|
Alerty XDR usługi Defender | Zdarzenia alertów XDR w usłudze AlertEvidence Microsoft Defender (w tabeli). |
ASimAlertEventMicrosoftDefenderXDR |
SentinelOne liczba pojedyncza | SentinelOne liczba pojedynczych Threats. zdarzeń (w tabeli).SentinelOne_CL |
ASimAlertEventSentinelOneSingularity |
Inspekcja analizatorów zdarzeń
Aby użyć analizatorów zdarzeń inspekcji ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
Source | Uwagi | Parser |
---|---|---|
Zdarzenia administracyjne działania platformy Azure | Zdarzenia działania platformy AzureActivity Azure (w tabeli) w kategorii Administrative . |
ASimAuditEventAzureActivity |
Zdarzenia administracyjne programu Exchange 365 | Zdarzenia administracyjne programu Exchange zebrane przy użyciu łącznika usługi Office 365 (w OfficeActivity tabeli). |
ASimAuditEventMicrosoftOffice365 |
Zdarzenie czyszczenia dziennika systemu Windows | Zdarzenie systemu Windows 1102 zebrane przy użyciu łącznika zdarzeń zabezpieczeń agenta usługi Log Analytics (starsza wersja) lub zdarzeń zabezpieczeń agenta usługi Azure Monitor i łączników WEF (przy użyciu SecurityEvent tabel , WindowsEvent lub Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Analizatory uwierzytelniania
Aby użyć analizatorów uwierzytelniania ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Logowania do systemu Windows
- Zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja).
- Zbierane przy użyciu łączników zdarzeń zabezpieczeń do tabeli SecurityEvent lub przy użyciu łącznika WEF do tabeli WindowsEvent.
- Zgłaszane jako zdarzenia zabezpieczeń (4624, 4625, 4634 i 4647).
- raportowany przez usługę Microsoft Defender XDR dla punktu końcowego zebrany przy użyciu łącznika XDR usługi Microsoft Defender.
- Logowania do systemu Linux
- raportowany przez usługę Microsoft Defender XDR dla punktu końcowego zebrany przy użyciu łącznika XDR usługi Microsoft Defender.
su
,sudo
isshd
aktywność zgłoszona przy użyciu dziennika systemowego.- zgłoszone przez usługę Microsoft Defender do punktu końcowego IoT.
- Logowania firmy Microsoft Entra zebrane przy użyciu łącznika Microsoft Entra. Oddzielne analizatory są udostępniane dla zwykłych, nieinterakcyjnych, zarządzanych tożsamości i zasad usługi logowania.
- Logowania platformy AWS zebrane przy użyciu łącznika AWS CloudTrail.
- Uwierzytelnianie usługi Okta zebrane przy użyciu łącznika Usługi Okta.
- Dzienniki logowania bazy danych PostgreSQL .
Analizatory DNS
Analizatory DNS ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:
Source | Uwagi | Parser |
---|---|---|
Znormalizowane dzienniki DNS | Każde zdarzenie znormalizowane podczas pozyskiwania ASimDnsActivityLogs do tabeli. Łącznik DNS agenta usługi Azure Monitor używa ASimDnsActivityLogs tabeli i jest obsługiwany przez _Im_Dns_Native analizator. |
_Im_Dns_Native |
Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - WIĄZAĆ - BlucCat |
Te same analizatory obsługują wiele źródeł. | _Im_Dns_InfobloxNIOSVxx |
Microsoft DNS Server | Zbierane przy użyciu: — Łącznik DNS agenta usługi Azure Monitor - NXlog — Łącznik DNS dla agenta usługi Log Analytics (starsza wersja) |
_Im_Dns_MicrosoftOMSVxx Zobacz Znormalizowane dzienniki DNS. _Im_Dns_MicrosoftNXlogVxx |
Sysmon dla systemu Windows (zdarzenie 22) | Zbierane przy użyciu: — Agent usługi Azure Monitor — Agent usługi Log Analytics (starsza wersja) W przypadku obu agentów obaj zbierają dane do Event Tabele i WindowsEvent są obsługiwane. |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.
Analizatory działań plików
Aby użyć analizatorów działań plików ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Działanie pliku systemu Windows
- Zgłoszone przez system Windows (zdarzenie 4663):
- Zbierane przy użyciu łącznika zdarzeń zabezpieczeń opartych na agencie usługi Azure Monitor do tabeli SecurityEvent.
- Zbierane przy użyciu łącznika WEF (Przekazywanie zdarzeń systemu Windows) opartego na agencie usługi Azure Monitor do tabeli WindowsEvent.
- Zbierane przy użyciu łącznika zdarzeń zabezpieczeń opartych na agencie usługi Log Analytics do tabeli SecurityEvent (starsza wersja).
- Zgłaszane przy użyciu zdarzeń działania pliku Sysmon (zdarzenia 11, 23 i 26):
- Zbierane przy użyciu łącznika WEF (Przekazywanie zdarzeń systemu Windows) opartego na agencie usługi Azure Monitor do tabeli WindowsEvent.
- Zbierane przy użyciu agenta usługi Log Analytics do tabeli Event (starsza wersja).
- Zgłoszone przez usługę Microsoft Defender XDR dla punktu końcowego zebrane przy użyciu łącznika XDR usługi Microsoft Defender.
- Zgłoszone przez system Windows (zdarzenie 4663):
- Zdarzenia programu Microsoft Office 365 SharePoint i OneDrive zebrane przy użyciu łącznika aktywności pakietu Office.
- Usługa Azure Storage, w tym obiekt blob, plik, kolejka i usługa Table Storage.
Analizatory sesji sieciowych
Analizatory sesji sieciowych ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:
Source | Uwagi | Parser |
---|---|---|
Znormalizowane dzienniki sesji sieci | Każde zdarzenie znormalizowane podczas pozyskiwania ASimNetworkSessionLogs do tabeli. Łącznik zapory dla agenta usługi Azure Monitor używa ASimNetworkSessionLogs tabeli i jest obsługiwany przez _Im_NetworkSession_Native analizator. |
_Im_NetworkSession_Native |
AppGate SDP | Dzienniki połączeń IP zebrane przy użyciu dziennika systemowego. | _Im_NetworkSession_AppGateSDPVxx |
Dzienniki VPC platformy AWS | Zbierane przy użyciu łącznika platformy AWS S3. | _Im_NetworkSession_AWSVPCVxx |
Dzienniki usługi Azure Firewall | _Im_NetworkSession_AzureFirewallVxx |
|
Azure Monitor VMConnection | Zbierane w ramach rozwiązania Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
Dzienniki sieciowych grup zabezpieczeń platformy Azure | Zbierane w ramach rozwiązania Azure Monitor VM Insights. | _Im_NetworkSession_AzureNSGVxx |
Zapora punktu kontrolnego-1 | Zbierane przy użyciu formatu CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | Zbierane przy użyciu łącznika CEF. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Zbierane przy użyciu łącznika interfejsu API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Zbierane przy użyciu łącznika Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | Dzienniki połączeń IP zebrane przy użyciu dziennika systemowego. | _Im_NetworkSession_FortinetFortiGateVxx |
Zapora programu ForcePoint | _Im_NetworkSession_ForcePointFirewallVxx |
|
Usługa Microsoft Defender XDR dla punktu końcowego | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Microsoft Defender for IoT micro agent | _Im_NetworkSession_MD4IoTAgentVxx |
|
Czujnik usługi Microsoft Defender dla IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
Dzienniki ruchu Palo Alto PanOS | Zbierane przy użyciu formatu CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon dla systemu Linux (zdarzenie 3) | Zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja). | _Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | Obsługuje parametr pakietu. | _Im_NetworkSession_VectraIAVxx |
Dzienniki Zapory systemu Windows | Zbierane jako zdarzenia systemu Windows przy użyciu agenta usługi Azure Monitor (tabela WindowsEvent) lub agenta usługi Log Analytics (tabela zdarzeń) (starsza wersja). Obsługuje zdarzenia systemu Windows od 5150 do 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Straż straży straży pożarnejOW | Zbierane przy użyciu dziennika systemowego. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Dzienniki zapory ZIA rozwiązania Zscaler | Zbierane przy użyciu formatu CEF. | _Im_NetworkSessionZscalerZIAVxx |
Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.
Analizatory zdarzeń przetwarzania
Aby użyć analizatorów zdarzeń procesu ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Tworzenie procesu zdarzeń zabezpieczeń (zdarzenie 4688) zebrane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
- Zakończenie procesu zdarzeń zabezpieczeń (zdarzenie 4689) zebrane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
- Tworzenie procesu sysmon (zdarzenie 1), zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
- Zakończenie procesu sysmon (zdarzenie 5) zebrane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
- Tworzenie procesu punktu końcowego w usłudze Microsoft Defender XDR
Analizatory zdarzeń rejestru
Aby użyć analizatorów zdarzeń rejestru ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Aktualizacja rejestru zdarzeń zabezpieczeń (zdarzenia 4657 i 4663) zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
- Zdarzenia monitorowania rejestru sysmon (zdarzenia 12, 13 i 14) zbierane przy użyciu agenta usługi Azure Monitor lub agenta usługi Log Analytics (starsza wersja)
- Zdarzenia rejestru punktów końcowych w usłudze Microsoft Defender XDR
Analizatory sesji sieci Web
Analizatory sesji sieci Web ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:
Source | Uwagi | Parser |
---|---|---|
Znormalizowane dzienniki sesji sieci Web | Każde zdarzenie znormalizowane podczas pozyskiwania ASimWebSessionLogs do tabeli. |
_Im_WebSession_NativeVxx |
Dzienniki usług Internet Information Services (IIS) | Zbierane przy użyciu łączników usług IIS opartych na agencie usługi Azure Monitor lub agencie usługi Log Analytics (starsza wersja). | _Im_WebSession_IISVxx |
Dzienniki zagrożeń palo Alto PanOS | Zbierane przy użyciu formatu CEF. | _Im_WebSession_PaloAltoCEFVxx |
Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
Strumienie sztucznej inteligencji Vectra | Obsługuje parametr pakietu. | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | Zbierane przy użyciu formatu CEF. | _Im_WebSessionZscalerZIAVxx |
Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Korzystanie z analizatorów ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Zarządzanie analizatorami ASIM
Dowiedz się więcej o usłudze ASIM:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)