Compartilhar via


Lista de analisadores do Microsoft Sentinel ASIM (Modelo de Informações de Segurança Avançado) (visualização pública)

Este documento fornece uma lista de analisadores do ASIM (Modelo avançado de informações de segurança). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral de analisadores. Para entender como os analisadores se encaixam na arquitetura do ASIM, consulte o diagrama de arquitetura do ASIM.

Importante

O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Analisadores de eventos de alerta

Para usar os analisadores de eventos de alerta do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:

Origem Observações Analisador
Alertas do Defender XDR Eventos de alerta do Microsoft Defender XDR (na AlertEvidence tabela). ASimAlertEventMicrosoftDefenderXDR
Singularidade do SentinelOne Eventos de singularidade Threats. do SentinelOne (na SentinelOne_CL tabela). ASimAlertEventSentinelOneSingularity

Analisadores de eventos de auditoria

Para usar analisadores de eventos de auditoria do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:

Origem Observações Analisador
Eventos administrativos da Atividade do Azure Eventos de Atividade do Azure (na tabela AzureActivity) na categoria Administrative. ASimAuditEventAzureActivity
Eventos administrativos do Exchange 365 Eventos administrativos do Exchange coletados usando o conector do Office 365 (na tabela OfficeActivity). ASimAuditEventMicrosoftOffice365
Evento de limpeza do Log do Windows O Evento 1102 do Windows foi coletado usando o conector de Eventos de Segurança do agente do Log Analytics (herdado) ou os Eventos de Segurança do agente do Azure Monitor e os conectores WEF (usando as SecurityEventtabelas , WindowsEventou Event ). ASimAuditEventMicrosoftWindowsEvents

Analisadores de autenticação

Para usar analisadores de autenticação do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:

  • Entradas no Windows
    • Coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado).
    • Coletado usando os conectores de Eventos de Segurança para a tabela SecurityEvent ou usando o conector WEF para a tabela WindowsEvent.
    • Relatados como eventos de segurança (4624, 4625, 4634 e 4647).
    • relatado pelo Microsoft Defender XDR para Ponto de Extremidade, coletado usando o conector Microsoft Defender XDR.
  • Entradas do Linux
    • relatado pelo Microsoft Defender XDR para Ponto de Extremidade, coletado usando o conector Microsoft Defender XDR.
    • Atividades su, sudo e sshd reportadas usando o Syslog.
    • relatado pelo Microsoft Defender ao Ponto de Extremidade IoT.
  • Entradas do Microsoft Entra, coletadas usando o conector do Microsoft Entra. Analisadores separados são fornecidos para entradas regulares, não interativas, de identidades gerenciadas e princípios de serviço.
  • Entradas no AWS, coletadas usando o conector AWS CloudTrail.
  • Autenticação Okta, coletada usando o conector do Okta.
  • Logs de entrada do PostgreSQL.

Analisadores DNS

Os analisadores de DNS do ASIM estão disponíveis em todos os workspaces. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:

Origem Observações Analisador
Logs DNS normalizados Qualquer evento normalizado na ingestão para a tabela ASimDnsActivityLogs. O conector DNS para o Agente do Azure Monitor usa a tabela ASimDnsActivityLogs e tem suporte do analisador _Im_Dns_Native. _Im_Dns_Native
Firewall do Azure _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BIND
- BlucCat
Os mesmos analisadores dão suporte a várias fontes. _Im_Dns_InfobloxNIOSVxx
Servidor DNS da Microsoft Coletado usando:
– Conector DNS para o Agente do Azure Monitor
– NXlog
- Conector DNS para o Agente do Log Analytics (herdado)

_Im_Dns_MicrosoftOMSVxx
Confira logs de DNS normalizados.
_Im_Dns_MicrosoftNXlogVxx
Sysmon para Windows (evento 22) Coletado usando:
- Agente do Azure Monitor
- O Agente do Log Analytics (herdado)

Para ambos os agentes, há suporte para coletar para as
tabelas Event e WindowsEvent.
_Im_Dns_MicrosoftSysmonVxx
IA da Vectra _Im_Dns_VectraIAVxx
ZIA do Zscaler _Im_Dns_ZscalerZIAVxx

Implante a versão dos analisadores implantados do espaço de trabalho do repositório GitHub da Microsoft Sentinel.

Analisadores de atividade de arquivo

Para usar os analisadores de Atividade de Arquivo do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:

  • Atividade de arquivo do Windows
    • Relatado pelo Windows (evento 4663):
      • Coletado usando o conector de Eventos de Segurança baseados no Agente do Azure Monitor para a tabela SecurityEvent.
      • Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
      • Coletado usando o conector de Eventos de Segurança baseado no Agente do Log Analytics para a tabela SecurityEvent (herdada).
    • Relatado usando Eventos de atividade de arquivo do Sysmon (Eventos 11, 23 e 26):
      • Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
      • Coletado usando o Agente do Log Analytics para a tabela de eventos (herdado).
    • Relatado pelo Microsoft Defender XDR para Ponto de Extremidade, coletado usando o conector Microsoft Defender XDR.
  • Eventos do Microsoft Office 365 SharePoint e OneDrive, coletados usando o conector de atividades do Office.
  • Armazenamento do Microsoft Azure, incluindo o Armazenamento de Tabelas, de blobs, de arquivo e de fila.

Analisadores de sessão de rede

Os analisadores de Sessão de Rede do ASIM estão disponíveis em todos os workspaces. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:

Origem Observações Analisador
Logs de Sessão de Rede Normalizados Qualquer evento normalizado na ingestão para a tabela ASimNetworkSessionLogs. O conector de Firewall para o Agente do Azure Monitor usa a tabela ASimNetworkSessionLogs e tem suporte do analisador _Im_NetworkSession_Native. _Im_NetworkSession_Native
AppGate SDP Logs de conexão IP coletados pelo Syslog. _Im_NetworkSession_AppGateSDPVxx
Logs VPC do AWS Coletados pelo conector AWS S3. _Im_NetworkSession_AWSVPCVxx
Logs do Firewall do Azure _Im_NetworkSession_AzureFirewallVxx
VMConnection do Azure Monitor Coletados como parte da solução de Insights da VM do Azure Monitor. _Im_NetworkSession_VMConnectionVxx
Logs dos Grupos de Segurança de Rede (NSG) do Azure Coletados como parte da solução de Insights da VM do Azure Monitor. _Im_NetworkSession_AzureNSGVxx
Firewall de Ponto de Verificação-1 Coletados pelo CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA Coletado usando o conector CEF. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Coletado usando o conector da API Cisco Meraki. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Coletado usando o conector do Corelight Zeek. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS Logs de conexão IP coletados pelo Syslog. _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint Firewall _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR para Ponto de Extremidade _Im_NetworkSession_Microsoft365DefenderVxx
Microagente do Microsoft Defender para IoT _Im_NetworkSession_MD4IoTAgentVxx
Sensor do Microsoft Defender para IoT _Im_NetworkSession_MD4IoTSensorVxx
Logs de tráfego de Palo Alto PanOS Coletados pelo CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon para Linux (evento 3) Coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado). _Im_NetworkSession_LinuxSysmonVxx
IA da Vectra Dá suporte ao parâmetro pack. _Im_NetworkSession_VectraIAVxx
Logs do Firewall do Windows Coletados como eventos do Windows usando o Agente do Azure Monitor (tabela WindowsEvent) ou o Agente do Log Analytics (tabela de eventos) (herdado). Dá suporte a eventos 5150 a 5159 do Windows. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW Coletados usando Syslog. _Im_NetworkSession_WatchGuardFirewareOSVxx
Logs do firewall do Zscaler ZIA Coletados pelo CEF. _Im_NetworkSessionZscalerZIAVxx

Implante a versão dos analisadores implantados do espaço de trabalho do repositório GitHub da Microsoft Sentinel.

Analisadores de eventos de processo

Para usar analisadores de Eventos de Processo do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:

  • Criação do processo de Eventos de Segurança (Evento 4688), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
  • Encerramento do processo de Eventos de Segurança (Evento 4689), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
  • Criação do processo Sysmon (Evento 1), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
  • Encerramento do processo Sysmon (Evento 5), coletado usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
  • Microsoft Defender XDR para criação de processo de ponto de extremidade

Analisadores de eventos de registro

Para usar analisadores de Eventos de Registro do ASIM, implante os analisadores do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados do GitHub:

  • Atualização do Registro de Eventos de Segurança (Eventos 4657 e 4663), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
  • Eventos de monitoramento do registro do Sysmon (Eventos 12, 13 e 14), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado)
  • Eventos de registro do Microsoft Defender XDR para Ponto de Extremidade

Analisadores de sessão da Web

Os analisadores de Sessão da Web do ASIM estão disponíveis em todos os workspaces. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:

Origem Observações Analisador
Logs de sessão da Web normalizados Qualquer evento normalizado na ingestão para a tabela ASimWebSessionLogs. _Im_WebSession_NativeVxx
Logs dos Serviços de Informações da Internet (IIS) Coletado usando conectores do IIS baseados no Agente do Azure Monitor ou no Agente do Log Analytics (herdado). _Im_WebSession_IISVxx
Log de ameças do Palo Alto PanOS Coletados pelo CEF. _Im_WebSession_PaloAltoCEFVxx
Proxy da Squid _Im_WebSession_SquidProxyVxx
Fluxos de IA do Vectra Dá suporte ao parâmetro pack. _Im_WebSession_VectraAIVxx
ZIA do Zscaler Coletados pelo CEF. _Im_WebSessionZscalerZIAVxx

Implante a versão dos analisadores implantados do espaço de trabalho do repositório GitHub da Microsoft Sentinel.

Próximas etapas

Saiba mais sobre analisadores do ASIM:

Saiba mais sobre o ASIM: