Lista över ASIM-parsare (Advanced Security Information Model) i Microsoft Sentinel (offentlig förhandsversion)

Det här dokumentet innehåller en lista över ASIM-parsare (Advanced Security Information Model). En översikt över ASIM-parsare finns i översikten över parsare. Information om hur parsers passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Viktigt!

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Aviseringshändelseparsers

Om du vill använda ASIM-aviseringshändelseparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

Source	Anteckningar	Parser
Defender XDR-aviseringar	Microsoft Defender XDR-aviseringshändelser (i AlertEvidence tabellen).	ASimAlertEventMicrosoftDefenderXDR
SentinelOne Singularity	SentinelOne Singularity-händelser Threats. (i SentinelOne_CL tabellen).	ASimAlertEventSentinelOneSingularity

Granska händelseparsers

Om du vill använda ASIM-granskningshändelseparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

Source	Anteckningar	Parser
Administrativa händelser för Azure Activity	Azure Activity-händelser (i AzureActivity tabellen) i kategorin Administrative.	ASimAuditEventAzureActivity
Administrativa händelser i Exchange 365	Exchange Administrativa händelser som samlas in med hjälp av Office 365-anslutningsappen OfficeActivity (i tabellen).	ASimAuditEventMicrosoftOffice365
Rensa händelse för Windows-logg	Windows Event 1102 samlas in med hjälp av Log Analytics-agentens anslutningsprogram för säkerhetshändelser (äldre) eller Azure Monitor-agentens säkerhetshändelser och WEF-anslutningsappar (med hjälp av tabellerna SecurityEvent, WindowsEventeller Event ).	ASimAuditEventMicrosoftWindowsEvents

Parsare för autentisering

Om du vill använda ASIM-autentiseringsparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

• Windows-inloggningar
  • Samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre).
  • Samlas in med hjälp av antingen anslutningsprogram för säkerhetshändelser till tabellen SecurityEvent eller med hjälp av WEF-anslutningsappen till WindowsEvent-tabellen.
  • Rapporteras som säkerhetshändelser (4624, 4625, 4634 och 4647).
  • rapporteras av Microsoft Defender XDR för Endpoint, som samlats in med hjälp av Microsoft Defender XDR-anslutningsappen.
• Linux-inloggningar
  • rapporteras av Microsoft Defender XDR för Endpoint, som samlats in med hjälp av Microsoft Defender XDR-anslutningsappen.
  • su, sudooch sshd aktivitet som rapporterats med syslog.
  • rapporteras av Microsoft Defender till IoT Endpoint.
• Microsoft Entra-inloggningar som samlas in med hjälp av Microsoft Entra-anslutningsappen. Separata parsers tillhandahålls för vanliga, icke-interaktiva, hanterade identiteter och tjänstprinciper inloggningar.
• AWS-inloggningar som samlas in med hjälp av AWS CloudTrail-anslutningsprogrammet.
• Okta-autentisering, som samlas in med okta-anslutningsappen.
• PostgreSQL-inloggningsloggar .

DNS-parsare

ASIM DNS-parsare är tillgängliga på varje arbetsyta. Microsoft Sentinel tillhandahåller följande färdiga parsers:

Source	Anteckningar	Parser
Normaliserade DNS-loggar	Alla händelser normaliserades vid inmatning till ASimDnsActivityLogs tabellen. DNS-anslutningsappen för Azure Monitor-agenten ASimDnsActivityLogs använder tabellen och stöds av _Im_Dns_Native parsern.	_Im_Dns_Native
Azure Firewall		_Im_Dns_AzureFirewallVxx
Cisco Umbrella		_Im_Dns_CiscoUmbrellaVxx
Corelight Zeek		_Im_Dns_CorelightZeekVxx
GCP DNS		_Im_Dns_GcpVxx
- Infoblox NIOS - BINDA - BlucCat	Samma parser stöder flera källor.	_Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server	Samlas in med: – DNS-anslutningsprogram för Azure Monitor-agenten - NXlog – DNS-anslutningsprogram för Log Analytics-agenten (äldre)	_Im_Dns_MicrosoftOMSVxx Se Normaliserade DNS-loggar. _Im_Dns_MicrosoftNXlogVxx
Sysmon för Windows (händelse 22)	Samlas in med: – Azure Monitor-agent – Log Analytics-agenten (äldre) För båda agenterna samlar båda in till Event och WindowsEvent tabeller stöds.	_Im_Dns_MicrosoftSysmonVxx
Vectra AI		_Im_Dns_VectraIAVxx
Zscaler ZIA		_Im_Dns_ZscalerZIAVxx

Distribuera arbetsytans distribuerade parsers-version från Microsoft Sentinel GitHub-lagringsplatsen.

Filaktivitetsparsers

Om du vill använda ASIM-filaktivitetsparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

• Windows-filaktivitet
  • Rapporterat av Windows (händelse 4663):
    • Samlas in med hjälp av Azure Monitor Agent-baserad anslutningsapp för säkerhetshändelser till tabellen SecurityEvent.
    • Samlas in med hjälp av Azure Monitor Agent-baserad WEF-anslutning (Windows Händelsevidarebefordring) till WindowsEvent-tabellen.
    • Samlas in med hjälp av Log Analytics Agent-baserade Security Events-anslutningsappen till tabellen SecurityEvent (äldre).
  • Rapporterade med sysmon-filaktivitetshändelser (händelser 11, 23 och 26):
    • Samlas in med hjälp av Azure Monitor Agent-baserad WEF-anslutning (Windows Händelsevidarebefordring) till WindowsEvent-tabellen.
    • Samlas in med Log Analytics-agenten till händelsetabellen (äldre).
  • Rapporteras av Microsoft Defender XDR för Endpoint och samlas in med hjälp av Microsoft Defender XDR-anslutningsappen.
• Microsoft Office 365 SharePoint- och OneDrive-händelser som samlas in med hjälp av Anslutningsappen för Office-aktivitet.
• Azure Storage, inklusive Blob, File, Queue och Table Storage.

Parsare för nätverkssession

ASIM-nätverkssessionsparsers är tillgängliga på varje arbetsyta. Microsoft Sentinel tillhandahåller följande färdiga parsers:

Source	Anteckningar	Parser
Normaliserade nätverkssessionsloggar	Alla händelser normaliserades vid inmatning till ASimNetworkSessionLogs tabellen. Brandväggsanslutningsappen för Azure Monitor-agenten ASimNetworkSessionLogs använder tabellen och stöds av _Im_NetworkSession_Native parsern.	_Im_NetworkSession_Native
AppGate SDP	IP-anslutningsloggar som samlas in med Syslog.	_Im_NetworkSession_AppGateSDPVxx
AWS VPC-loggar	Samlas in med hjälp av AWS S3-anslutningsappen.	_Im_NetworkSession_AWSVPCVxx
Azure Firewall-loggar		_Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection	Samlas in som en del av Azure Monitor VM Insights-lösningen.	_Im_NetworkSession_VMConnectionVxx
Loggar för Azure Network Security Groups (NSG)	Samlas in som en del av Azure Monitor VM Insights-lösningen.	_Im_NetworkSession_AzureNSGVxx
Checkpoint Firewall-1	Samlas in med CEF.	_Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA	Samlas in med hjälp av CEF-anslutningsappen.	_Im_NetworkSession_CiscoASAVxx
Cisco Meraki	Samlas in med Cisco Meraki API-anslutningsappen.	_Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek	Samlas in med Corelight Zeek-anslutningsappen.	_im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS	IP-anslutningsloggar som samlas in med Syslog.	_Im_NetworkSession_FortinetFortiGateVxx
ForcePoint-brandvägg		_Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR för Endpoint		_Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender för IoT-mikroagent		_Im_NetworkSession_MD4IoTAgentVxx
Microsoft Defender för IoT-sensor		_Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS-trafikloggar	Samlas in med CEF.	_Im_NetworkSession_PaloAltoCEFVxx
Sysmon för Linux (händelse 3)	Samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre).	_Im_NetworkSession_LinuxSysmonVxx
Vectra AI	Stöder packparametern.	_Im_NetworkSession_VectraIAVxx
Windows-brandväggsloggar	Samlas in som Windows-händelser med Azure Monitor Agent (WindowsEvent-tabell) eller Log Analytics-agenten (händelsetabell) (äldre). Stöder Windows-händelser 5150 till 5159.	_Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW	Samlas in med Syslog.	_Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA-brandväggsloggar	Samlas in med CEF.	_Im_NetworkSessionZscalerZIAVxx

Distribuera arbetsytans distribuerade parsers-version från Microsoft Sentinel GitHub-lagringsplatsen.

Bearbeta händelseparsers

Om du vill använda ASIM Process Event-parsare distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

• Skapande av säkerhetshändelser (händelse 4688), samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre)
• Avslutning av säkerhetshändelser (händelse 4689), som samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre)
• Skapa Sysmon-process (händelse 1), samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre)
• Sysmon-processavslut (händelse 5), som samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre)
• Microsoft Defender XDR för skapande av slutpunktsprocess

Registerhändelseparsers

Om du vill använda ASIM Registry Event-parsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

• Registeruppdatering för Säkerhetshändelser (händelser 4657 och 4663), som samlas in med Hjälp av Azure Monitor-agenten eller Log Analytics-agenten (äldre)
• Sysmon-registerövervakningshändelser (händelser 12, 13 och 14), som samlas in med Hjälp av Azure Monitor Agent eller Log Analytics Agent (äldre)
• Microsoft Defender XDR för Endpoint-registerhändelser

Webbsessionsparsers

ASIM-webbsessionsparsers är tillgängliga på varje arbetsyta. Microsoft Sentinel tillhandahåller följande färdiga parsers:

Source	Anteckningar	Parser
Normaliserade webbsessionsloggar	Alla händelser normaliserades vid inmatning till ASimWebSessionLogs tabellen.	_Im_WebSession_NativeVxx
IIS-loggar (Internet Information Services)	Samlas in med Hjälp av Azure Monitor Agent eller Log Analytics Agent (äldre)-baserade IIS-anslutningsappar.	_Im_WebSession_IISVxx
Palo Alto PanOS-hotloggar	Samlas in med CEF.	_Im_WebSession_PaloAltoCEFVxx
Bläckfiskproxy		_Im_WebSession_SquidProxyVxx
Vectra AI Streams	Stöder packparametern.	_Im_WebSession_VectraAIVxx
Zscaler ZIA	Samlas in med CEF.	_Im_WebSessionZscalerZIAVxx

Distribuera arbetsytans distribuerade parsers-version från Microsoft Sentinel GitHub-lagringsplatsen.

Nästa steg

Läs mer om ASIM-parsers:

• Använda ASIM-parsers
• Utveckla anpassade ASIM-parsers
• Hantera ASIM-parsers

Läs mer om ASIM:

• Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parsare och normaliserat innehåll eller granska bilderna
• Översikt över Advanced Security Information Model (ASIM)
• ASIM-scheman (Advanced Security Information Model)
• Asim-innehåll (Advanced Security Information Model)