Lista de analisadores do Microsoft Sentinel ASIM (Modelo de Informações de Segurança Avançado) (visualização pública)
Este documento fornece uma lista de analisadores do ASIM (Modelo avançado de informações de segurança). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral de analisadores. Para entender como os analisadores se encaixam na arquitetura do ASIM, consulte o diagrama de arquitetura do ASIM.
Importante
O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores de eventos de alerta
Para usar os analisadores de eventos de alerta do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:
Origem | Observações | Analisador |
---|---|---|
Alertas do Defender XDR | Eventos de alerta do Microsoft Defender XDR (na AlertEvidence tabela). |
ASimAlertEventMicrosoftDefenderXDR |
Singularidade do SentinelOne | Eventos de singularidade Threats. do SentinelOne (na SentinelOne_CL tabela). |
ASimAlertEventSentinelOneSingularity |
Analisadores de eventos de auditoria
Para usar analisadores de eventos de auditoria do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:
Origem | Observações | Analisador |
---|---|---|
Eventos administrativos da Atividade do Azure | Eventos de Atividade do Azure (na tabela AzureActivity ) na categoria Administrative . |
ASimAuditEventAzureActivity |
Eventos administrativos do Exchange 365 | Eventos administrativos do Exchange coletados usando o conector do Office 365 (na tabela OfficeActivity ). |
ASimAuditEventMicrosoftOffice365 |
Evento de limpeza do Log do Windows | O Evento 1102 do Windows foi coletado usando o conector de Eventos de Segurança do agente do Log Analytics (herdado) ou os Eventos de Segurança do agente do Azure Monitor e os conectores WEF (usando as SecurityEvent tabelas , WindowsEvent ou Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Analisadores de autenticação
Para usar analisadores de autenticação do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:
- Entradas no Windows
- Coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado).
- Coletado usando os conectores de Eventos de Segurança para a tabela SecurityEvent ou usando o conector WEF para a tabela WindowsEvent.
- Relatados como eventos de segurança (4624, 4625, 4634 e 4647).
- relatado pelo Microsoft Defender XDR para Ponto de Extremidade, coletado usando o conector Microsoft Defender XDR.
- Entradas do Linux
- relatado pelo Microsoft Defender XDR para Ponto de Extremidade, coletado usando o conector Microsoft Defender XDR.
- Atividades
su
,sudo
esshd
reportadas usando o Syslog. - relatado pelo Microsoft Defender ao Ponto de Extremidade IoT.
- Entradas do Microsoft Entra, coletadas usando o conector do Microsoft Entra. Analisadores separados são fornecidos para entradas regulares, não interativas, de identidades gerenciadas e princípios de serviço.
- Entradas no AWS, coletadas usando o conector AWS CloudTrail.
- Autenticação Okta, coletada usando o conector do Okta.
- Logs de entrada do PostgreSQL.
Analisadores DNS
Os analisadores de DNS do ASIM estão disponíveis em todos os workspaces. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Origem | Observações | Analisador |
---|---|---|
Logs DNS normalizados | Qualquer evento normalizado na ingestão para a tabela ASimDnsActivityLogs . O conector DNS para o Agente do Azure Monitor usa a tabela ASimDnsActivityLogs e tem suporte do analisador _Im_Dns_Native . |
_Im_Dns_Native |
Firewall do Azure | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - BIND - BlucCat |
Os mesmos analisadores dão suporte a várias fontes. | _Im_Dns_InfobloxNIOSVxx |
Servidor DNS da Microsoft | Coletado usando: – Conector DNS para o Agente do Azure Monitor – NXlog - Conector DNS para o Agente do Log Analytics (herdado) |
_Im_Dns_MicrosoftOMSVxx Confira logs de DNS normalizados. _Im_Dns_MicrosoftNXlogVxx |
Sysmon para Windows (evento 22) | Coletado usando: - Agente do Azure Monitor - O Agente do Log Analytics (herdado) Para ambos os agentes, há suporte para coletar para as tabelas Event e WindowsEvent . |
_Im_Dns_MicrosoftSysmonVxx |
IA da Vectra | _Im_Dns_VectraIAVxx |
|
ZIA do Zscaler | _Im_Dns_ZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho do repositório GitHub da Microsoft Sentinel.
Analisadores de atividade de arquivo
Para usar os analisadores de Atividade de Arquivo do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:
- Atividade de arquivo do Windows
- Relatado pelo Windows (evento 4663):
- Coletado usando o conector de Eventos de Segurança baseados no Agente do Azure Monitor para a tabela SecurityEvent.
- Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
- Coletado usando o conector de Eventos de Segurança baseado no Agente do Log Analytics para a tabela SecurityEvent (herdada).
- Relatado usando Eventos de atividade de arquivo do Sysmon (Eventos 11, 23 e 26):
- Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
- Coletado usando o Agente do Log Analytics para a tabela de eventos (herdado).
- Relatado pelo Microsoft Defender XDR para Ponto de Extremidade, coletado usando o conector Microsoft Defender XDR.
- Relatado pelo Windows (evento 4663):
- Eventos do Microsoft Office 365 SharePoint e OneDrive, coletados usando o conector de atividades do Office.
- Armazenamento do Microsoft Azure, incluindo o Armazenamento de Tabelas, de blobs, de arquivo e de fila.
Analisadores de sessão de rede
Os analisadores de Sessão de Rede do ASIM estão disponíveis em todos os workspaces. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Origem | Observações | Analisador |
---|---|---|
Logs de Sessão de Rede Normalizados | Qualquer evento normalizado na ingestão para a tabela ASimNetworkSessionLogs . O conector de Firewall para o Agente do Azure Monitor usa a tabela ASimNetworkSessionLogs e tem suporte do analisador _Im_NetworkSession_Native . |
_Im_NetworkSession_Native |
AppGate SDP | Logs de conexão IP coletados pelo Syslog. | _Im_NetworkSession_AppGateSDPVxx |
Logs VPC do AWS | Coletados pelo conector AWS S3. | _Im_NetworkSession_AWSVPCVxx |
Logs do Firewall do Azure | _Im_NetworkSession_AzureFirewallVxx |
|
VMConnection do Azure Monitor | Coletados como parte da solução de Insights da VM do Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
Logs dos Grupos de Segurança de Rede (NSG) do Azure | Coletados como parte da solução de Insights da VM do Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
Firewall de Ponto de Verificação-1 | Coletados pelo CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | Coletado usando o conector CEF. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Coletado usando o conector da API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Coletado usando o conector do Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | Logs de conexão IP coletados pelo Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
Microsoft Defender XDR para Ponto de Extremidade | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Microagente do Microsoft Defender para IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
Sensor do Microsoft Defender para IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
Logs de tráfego de Palo Alto PanOS | Coletados pelo CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon para Linux (evento 3) | Coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado). | _Im_NetworkSession_LinuxSysmonVxx |
IA da Vectra | Dá suporte ao parâmetro pack. | _Im_NetworkSession_VectraIAVxx |
Logs do Firewall do Windows | Coletados como eventos do Windows usando o Agente do Azure Monitor (tabela WindowsEvent) ou o Agente do Log Analytics (tabela de eventos) (herdado). Dá suporte a eventos 5150 a 5159 do Windows. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Watchguard FirewareOW | Coletados usando Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Logs do firewall do Zscaler ZIA | Coletados pelo CEF. | _Im_NetworkSessionZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho do repositório GitHub da Microsoft Sentinel.
Analisadores de eventos de processo
Para usar analisadores de Eventos de Processo do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:
- Criação do processo de Eventos de Segurança (Evento 4688), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
- Encerramento do processo de Eventos de Segurança (Evento 4689), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
- Criação do processo Sysmon (Evento 1), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
- Encerramento do processo Sysmon (Evento 5), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
- Microsoft Defender XDR para criação de processo de ponto de extremidade
Analisadores de eventos de registro
Para usar analisadores de Eventos de Registro do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:
- Atualização do Registro de Eventos de Segurança (Eventos 4657 e 4663), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
- Eventos de monitoramento do registro do Sysmon (Eventos 12, 13 e 14), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
- Eventos de registro do Microsoft Defender XDR para Ponto de Extremidade
Analisadores de sessão da Web
Os analisadores de Sessão da Web do ASIM estão disponíveis em todos os workspaces. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Origem | Observações | Analisador |
---|---|---|
Logs de sessão da Web normalizados | Qualquer evento normalizado na ingestão para a tabela ASimWebSessionLogs . |
_Im_WebSession_NativeVxx |
Logs dos Serviços de Informações da Internet (IIS) | Coletado usando conectores do IIS baseados no Agente do Azure Monitor ou no Agente do Log Analytics (herdado). | _Im_WebSession_IISVxx |
Log de ameças do Palo Alto PanOS | Coletados pelo CEF. | _Im_WebSession_PaloAltoCEFVxx |
Proxy da Squid | _Im_WebSession_SquidProxyVxx |
|
Fluxos de IA do Vectra | Dá suporte ao parâmetro pack. | _Im_WebSession_VectraAIVxx |
ZIA do Zscaler | Coletados pelo CEF. | _Im_WebSessionZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho do repositório GitHub da Microsoft Sentinel.
Próximas etapas
Saiba mais sobre analisadores do ASIM:
Saiba mais sobre o ASIM:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)