Lista de analisadores Microsoft Sentinel Advanced Security Information Model (ASIM) (visualização pública)
Este documento fornece uma lista de analisadores ASIM (Advanced Security Information Model). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral dos analisadores. Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Importante
ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores de eventos de alerta
Para usar analisadores de eventos de alerta ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
Source | Notas | Analisador |
---|---|---|
Alertas XDR do Defender | Eventos de alerta do AlertEvidence Microsoft Defender XDR (na tabela). |
ASimAlertEventMicrosoftDefenderXDR |
SentinelOne Singularidade | Eventos SentinelOne Singularity Threats. (na SentinelOne_CL tabela). |
ASimAlertEventSentinelOneSingularity |
Analisadores de eventos de auditoria
Para usar analisadores de eventos de auditoria ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
Source | Notas | Analisador |
---|---|---|
Eventos administrativos da Atividade do Azure | Eventos de Atividade do AzureActivity Azure (na tabela) na categoria Administrative . |
ASimAuditEventAzureActivity |
Eventos administrativos do Exchange 365 | Eventos administrativos do Exchange coletados usando o conector do Office 365 (na OfficeActivity tabela). |
ASimAuditEventMicrosoftOffice365 |
Evento de limpeza do Log do Windows | Evento 1102 do Windows coletado usando o conector de Eventos de Segurança do agente do Log Analytics (legado) ou os conectores de Eventos de Segurança e WEF do agente do Azure monitor (usando as SecurityEvent tabelas , WindowsEvent ou Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Analisadores de autenticação
Para usar analisadores de autenticação ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Entradas do Windows
- Coletado usando o Azure Monitor Agent ou o Log Analytics Agent (legado).
- Coletado usando os conectores de Eventos de Segurança para a tabela SecurityEvent ou usando o conector WEF para a tabela WindowsEvent.
- Relatados como eventos de segurança (4624, 4625, 4634 e 4647).
- relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
- Entradas no Linux
- relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
su
,sudo
esshd
atividade relatada usando o Syslog.- reportado pelo Microsoft Defender ao IoT Endpoint.
- Entradas do Microsoft Entra, coletadas usando o conector Microsoft Entra. Analisadores separados são fornecidos para entradas regulares, não interativas, identidades gerenciadas e princípios de serviço.
- Logins da AWS, coletados usando o conector do AWS CloudTrail.
- Autenticação Okta, coletada usando o conector Okta.
- Logs de entrada do PostgreSQL .
Analisadores DNS
Os analisadores DNS ASIM estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Source | Notas | Analisador |
---|---|---|
Logs DNS normalizados | Qualquer evento normalizado na ingestão à ASimDnsActivityLogs mesa. O conector DNS para o Agente do Azure Monitor usa a ASimDnsActivityLogs tabela e é suportado _Im_Dns_Native pelo analisador. |
_Im_Dns_Native |
Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
Guarda-chuva Cisco | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - VINCULAR - BlucCat |
Os mesmos analisadores suportam várias fontes. | _Im_Dns_InfobloxNIOSVxx |
Servidor DNS da Microsoft | Recolhido usando: - Conector DNS para o Azure Monitor Agent - NXlog - Conector DNS para o Log Analytics Agent (legado) |
_Im_Dns_MicrosoftOMSVxx Consulte Logs DNS normalizados. _Im_Dns_MicrosoftNXlogVxx |
Sysmon para Windows (evento 22) | Recolhido usando: - Azure Monitor Agent - O Log Analytics Agent (legado) Para ambos os agentes, ambos recolhendo para o Event e WindowsEvent tabelas são suportadas. |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.
Analisadores de atividade de arquivo
Para usar analisadores de atividade de arquivo ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Atividade de arquivos do Windows
- Relatado pelo Windows (evento 4663):
- Coletados usando o conector de Eventos de Segurança baseado no Agente do Azure Monitor para a tabela SecurityEvent.
- Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
- Coletados usando o conector de Eventos de Segurança baseado no Log Analytics Agent para a tabela SecurityEvent (legado).
- Relatado usando eventos de atividade de arquivo Sysmon (Eventos 11, 23 e 26):
- Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
- Coletado usando o Log Analytics Agent para a tabela de eventos (legado).
- Relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
- Relatado pelo Windows (evento 4663):
- Eventos do Microsoft Office 365 SharePoint e OneDrive, coletados usando o conector de atividade do Office.
- Armazenamento do Azure, incluindo Blob, Arquivo, Fila e Armazenamento de Tabela.
Analisadores de sessão de rede
Os analisadores de sessão de rede ASIM estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Source | Notas | Analisador |
---|---|---|
Logs de sessão de rede normalizados | Qualquer evento normalizado na ingestão à ASimNetworkSessionLogs mesa. O conector de Firewall para o Agente do Azure Monitor usa a ASimNetworkSessionLogs tabela e é suportado _Im_NetworkSession_Native pelo analisador. |
_Im_NetworkSession_Native |
AppGate SDP | Logs de conexão IP coletados usando o Syslog. | _Im_NetworkSession_AppGateSDPVxx |
Logs da AWS VPC | Coletado usando o conector do AWS S3. | _Im_NetworkSession_AWSVPCVxx |
Logs do Firewall do Azure | _Im_NetworkSession_AzureFirewallVxx |
|
Azure Monitor VMConnection | Coletado como parte da solução Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
Logs do NSG (Grupos de Segurança de Rede) do Azure | Coletado como parte da solução Azure Monitor VM Insights. | _Im_NetworkSession_AzureNSGVxx |
Ponto de verificação Firewall-1 | Recolhido através do CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | Recolhido utilizando o conector CEF. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Coletado usando o conector Cisco Meraki API. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Coletado usando o conector Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | Logs de conexão IP coletados usando o Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
Microsoft Defender XDR para Endpoint | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Microsoft Defender para microagente IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
Sensor Microsoft Defender for IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
Registros de tráfego do PanOS de Palo Alto | Recolhido através do CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon para Linux (evento 3) | Coletado usando o Azure Monitor Agent ou o Log Analytics Agent (legado). | _Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | Suporta o parâmetro pack . | _Im_NetworkSession_VectraIAVxx |
Logs do Firewall do Windows | Coletados como eventos do Windows usando o Azure Monitor Agent (tabela WindowsEvent) ou o Log Analytics Agent (tabela de eventos) (legado). Suporta eventos do Windows 5150 a 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Vigia FirewareOW | Coletado usando Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Registos da firewall Zscaler ZIA | Recolhido através do CEF. | _Im_NetworkSessionZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.
Analisadores de eventos de processo
Para usar analisadores de eventos de processo ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Criação do processo de Eventos de Segurança (Evento 4688), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (legado)
- Encerramento do processo de Eventos de Segurança (Evento 4689), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (legado)
- Criação do processo Sysmon (Evento 1), coletado usando o Azure Monitor Agent ou o Log Analytics Agent (legado)
- Encerramento do processo Sysmon (Evento 5), coletado usando o Azure Monitor Agent ou o Log Analytics Agent (legado)
- Criação do processo Microsoft Defender XDR for Endpoint
Analisadores de eventos do Registro
Para usar analisadores de eventos do Registro ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Atualização do registo de Eventos de Segurança (Eventos 4657 e 4663), recolhida utilizando o Azure Monitor Agent ou o Log Analytics Agent (legado)
- Eventos de monitoramento do Registro Sysmon (Eventos 12, 13 e 14), coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (legado)
- Eventos de registo do Microsoft Defender XDR for Endpoint
Analisadores de sessão da Web
Os analisadores ASIM Web Session estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Source | Notas | Analisador |
---|---|---|
Logs de sessão da Web normalizados | Qualquer evento normalizado na ingestão à ASimWebSessionLogs mesa. |
_Im_WebSession_NativeVxx |
Logs do IIS (Serviços de Informações da Internet) | Coletados usando conectores IIS baseados no Agente do Azure Monitor ou no Agente do Log Analytics (legado). | _Im_WebSession_IISVxx |
Registos de ameaças do PanOS de Palo Alto | Recolhido através do CEF. | _Im_WebSession_PaloAltoCEFVxx |
Proxy Lulas | _Im_WebSession_SquidProxyVxx |
|
Vectra AI Fluxos | Suporta o parâmetro pack . | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | Recolhido através do CEF. | _Im_WebSessionZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.
Próximos passos
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- Gerir analisadores do ASIM
Saiba mais sobre o ASIM:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)