Список средств синтаксического анализа расширенной информационной модели безопасности (ASIM) Microsoft Sentinel (общедоступная предварительная версия)
В этом документе представлен список средств синтаксического анализа расширенной информационной модели безопасности (ASIM). Общие сведения о средствах синтаксического анализа ASIM см. в этом обзоре. Чтобы понять, как средства синтаксического анализа вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Внимание
ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Синтаксический анализ событий оповещений
Чтобы использовать средства синтаксического анализа событий оповещений ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
| Источник | Примечания | Синтаксический анализатор |
|---|---|---|
| Оповещения XDR в Защитнике | События оповещений AlertEvidence XDR в Microsoft Defender (в таблице). |
ASimAlertEventMicrosoftDefenderXDR |
| SentinelOne Singularity | События Сингулярности Threats. SentinelOne (в SentinelOne_CL таблице). |
ASimAlertEventSentinelOneSingularity |
Средства синтаксического анализа событий аудита
Чтобы использовать средства синтаксического анализа событий аудита ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
| Источник | Примечания | Синтаксический анализатор |
|---|---|---|
| События администрирования действий Azure | События действий Azure (в таблице) в AzureActivity категории Administrative. |
ASimAuditEventAzureActivity |
| Административные события Exchange 365 | События администрирования Exchange, собранные с помощью соединителя Office 365 (в OfficeActivity таблице). |
ASimAuditEventMicrosoftOffice365 |
| Событие очистки журнала Windows | События Windows 1102, собранные с помощью соединителя событий безопасности агента Log Analytics (устаревшая версия) или событий безопасности агента Azure Monitor и соединителей WEF (с помощью SecurityEventили Event WindowsEventтаблиц). |
ASimAuditEventMicrosoftWindowsEvents |
Средства синтаксического анализа проверки подлинности
Чтобы использовать средства синтаксического анализа проверки подлинности ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Входы Windows
- Собирается с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия).
- Собранные с помощью соединителей событий безопасности в таблицу SecurityEvent или с помощью соединителя WEF в таблицу WindowsEvent.
- Сообщенные как события безопасности (4624, 4625, 4634 и 4647).
- сообщает microsoft Defender XDR для конечной точки, собранный с помощью соединителя XDR в Microsoft Defender.
- Входы в Linux
- сообщает microsoft Defender XDR для конечной точки, собранный с помощью соединителя XDR в Microsoft Defender.
su,sudoиsshdдействие, сообщаемое с помощью системного журнала.- Передаваемые средством Microsoft Defender в конечную точку Интернета вещей.
- Входы Microsoft Entra, собранные с помощью соединителя Microsoft Entra. Предоставляются отдельные средства синтаксического анализа для разных типов входов: обычные, неинтерактивные, с управляемыми удостоверениями и с использованием субъектов-служб.
- Входы AWS, собираемые соединителем AWS CloudTrail.
- Проверка подлинности Okta, собираемая соединителем Okta.
- Журналы входа в PostgreSQL.
Средства синтаксического анализа DNS
Синтаксический анализ ASIM DNS доступен в каждой рабочей области. Microsoft Sentinel предоставляет следующие встроенные средства синтаксического анализа:
| Источник | Примечания | Синтаксический анализатор |
|---|---|---|
| Нормализованные журналы DNS | Любое событие, нормализованное при приеме в таблицу ASimDnsActivityLogs. Соединитель DNS для агента Azure Monitor использует таблицу ASimDnsActivityLogs и поддерживается _Im_Dns_Native средством синтаксического анализа. |
_Im_Dns_Native |
| Брандмауэр Azure | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
Одни и те же средства синтаксического анализа поддерживают несколько источников. | _Im_Dns_InfobloxNIOSVxx |
| DNS-сервер Microsoft | Собранные с помощью: — соединитель DNS для агента Azure Monitor - NXlog — соединитель DNS для агента Log Analytics (устаревшая версия) |
_Im_Dns_MicrosoftOMSVxxСм. нормализованные журналы DNS. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon для Windows (событие 22) | Собранные с помощью: — Агент Azure Monitor — Агент Log Analytics (устаревшая версия) Для обоих агентов оба собираются в Event поддерживаются таблицы WindowsEvent . |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Разверните развернутую версию средства синтаксического анализа рабочей области из репозитория Microsoft Sentinel GitHub.
Средства синтаксического анализа действий с файлами
Чтобы использовать средства синтаксического анализа действий файлов ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Действие файла Windows
- Сообщает Windows (событие 4663):
- Собирается с помощью соединителя событий безопасности на основе агента Azure Monitor в таблицу SecurityEvent.
- Собирается с помощью соединителя WEF на основе агента Azure Monitor (пересылка событий Windows) в таблицу WindowsEvent.
- Собирается с помощью соединителя событий безопасности на основе агента Log Analytics в таблицу SecurityEvent (устаревшая версия).
- Сообщается с помощью событий активности файлов Sysmon (события 11, 23 и 26):
- Собирается с помощью соединителя WEF на основе агента Azure Monitor (пересылка событий Windows) в таблицу WindowsEvent.
- Собирается с помощью агента Log Analytics в таблицу событий (устаревшая версия).
- Сообщает microsoft Defender XDR для конечной точки, собранный с помощью соединителя XDR в Microsoft Defender.
- Сообщает Windows (событие 4663):
- События Microsoft Office 365 SharePoint и OneDrive, которые собираются с помощью соединителя действий Office.
- Служба хранилища Azure (включая Хранилище BLOB-объектов, файлов, очередей и таблиц).
Средства синтаксического анализа сетевых сеансов
Средства синтаксического анализа сетевых сеансов ASIM доступны в каждой рабочей области. Microsoft Sentinel предоставляет следующие встроенные средства синтаксического анализа:
| Источник | Примечания | Синтаксический анализатор |
|---|---|---|
| Нормализованные журналы сетевых сеансов | Любое событие, нормализованное при приеме в таблицу ASimNetworkSessionLogs. Соединитель брандмауэра для агента Azure Monitor использует таблицу ASimNetworkSessionLogs и поддерживается _Im_NetworkSession_Native средством синтаксического анализа. |
_Im_NetworkSession_Native |
| AppGate SDP | Журналы подключений по протоколу IP, собранные с помощью Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Журналы AWS VPC | Собранные с помощью соединителя AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| журналы Брандмауэр Azure | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Собранные в составе решения "Аналитика виртуальной машины" Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Журналы Azure Network Security Groups (NSG) | Собранные в составе решения "Аналитика виртуальной машины" Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
| Брандмауэр контрольных точек-1 | Собранные с помощью CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Собирается с помощью соединителя CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Собранные с помощью соединителя API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Собранные с помощью соединителя Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Журналы подключений по протоколу IP, собранные с помощью Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Брандмауэр ForcePoint | _Im_NetworkSession_ForcePointFirewallVxx |
|
| XDR в Microsoft Defender для конечной точки | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Микроагент Microsoft Defender для Интернета вещей | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Датчик Microsoft Defender для Интернета вещей | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Журналы трафика Palo Alto PanOS | Собранные с помощью CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon для Linux (событие 3) | Собирается с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия). | _Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Поддерживает параметр пакета. | _Im_NetworkSession_VectraIAVxx |
| Журналы брандмауэра Windows | Собранные как события Windows с помощью агента Azure Monitor (таблица WindowsEvent) или агента Log Analytics (таблица событий) (устаревшая версия). Поддерживает события Windows с 5150 до 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Собранные с помощью Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Журналы брандмауэра Zscaler ZIA | Собранные с помощью CEF. | _Im_NetworkSessionZscalerZIAVxx |
Разверните развернутую версию средства синтаксического анализа рабочей области из репозитория Microsoft Sentinel GitHub.
Средства синтаксического анализа событий процессов
Чтобы использовать средства синтаксического анализа событий ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Создание процесса событий безопасности (событие 4688), собранное с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия)
- Завершение процесса событий безопасности (событие 4689), собираемое с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия)
- Создание процесса sysmon (событие 1), собранное с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия)
- Завершение процесса sysmon (событие 5), собранное с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия)
- Создание процесса XDR в Microsoft Defender для конечной точки
Средства синтаксического анализа событий реестра
Чтобы использовать средства синтаксического анализа событий реестра ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Обновление реестра событий безопасности (события 4657 и 4663), собранные с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия)
- События мониторинга реестра sysmon (события 12, 13 и 14), собранные с помощью агента Azure Monitor или агента Log Analytics (устаревшая версия)
- События реестра конечных точек в Microsoft Defender XDR для конечных точек
Средства синтаксического анализа сетевых сеансов
Средства синтаксического анализа веб-сеансов ASIM доступны в каждой рабочей области. Microsoft Sentinel предоставляет следующие встроенные средства синтаксического анализа:
| Источник | Примечания | Синтаксический анализатор |
|---|---|---|
| Нормализованные журналы веб-сеансов | Любое событие, нормализованное при приеме в таблицу ASimWebSessionLogs. |
_Im_WebSession_NativeVxx |
| Журналы службы IIS (IIS) | Собранные с помощью соединителей IIS на основе агента Azure Monitor или агента Log Analytics (устаревшие) соединители IIS. | _Im_WebSession_IISVxx |
| Журналы угроз Palo Alto PanOS | Собранные с помощью CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Потоки Vectra AI | Поддерживает параметр пакета. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Собранные с помощью CEF. | _Im_WebSessionZscalerZIAVxx |
Разверните развернутую версию средства синтаксического анализа рабочей области из репозитория Microsoft Sentinel GitHub.
Следующие шаги
Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:
- Использование анализаторов ASIM
- Разработка пользовательских средств синтаксического анализа ASIM
- Управление анализаторами ASIM
Дополнительные сведения об ASIM.
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)