你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 高级安全信息模型 (ASIM) 分析程序的列表(公共预览版)

本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。 有关 ASIM 分析程序的概述,请参阅分析程序概述。 若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

警报事件分析器

若要使用 ASIM 警报事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

Source 说明 Parser
Defender XDR 警报 Microsoft Defender XDR 警报事件(表中 AlertEvidence )。 ASimAlertEventMicrosoftDefenderXDR
SentinelOne Singularity SentinelOne Singularity Threats. 事件(在 SentinelOne_CL 表中)。 ASimAlertEventSentinelOneSingularity

审核事件分析程序

若要使用 ASIM 审核事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

Source 说明 Parser
Azure 活动管理事件 Administrative 类别中的 Azure 活动事件(位于 AzureActivity 表中)。 ASimAuditEventAzureActivity
Exchange 365 管理事件 使用 Office 365 连接器收集的 Exchange 管理事件(位于 OfficeActivity 表中)。 ASimAuditEventMicrosoftOffice365
Windows 日志清除事件 使用 Log Analytics 代理安全事件连接器(旧版)或 Azure Monitor 代理安全事件和 WEF 连接器(使用 SecurityEventWindowsEventEvent 表)收集的 Windows 事件 1102。 ASimAuditEventMicrosoftWindowsEvents

身份验证分析程序

若要使用 ASIM 身份验证分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • Windows 登录
    • 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。
    • 使用安全事件连接器收集到 SecurityEvent 表,或使用 WEF 连接器连接到 WindowsEvent 表。
    • 报告为安全事件(4624、4625、4634 和 4647)。
    • 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
  • Linux 登录
    • 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
    • 使用 Syslog 报告的 susudosshd 活动。
    • 由 Microsoft Defender 报告到 IoT 终结点。
  • Microsoft Entra 登录,使用 Microsoft Entra 连接器收集。 针对常规、非交互式、托管标识和服务主体登录提供了单独的分析器。
  • 使用 AWS CloudTrail 连接器收集的 AWS 登录。
  • 使用 Okta 连接器收集的 Okta 身份验证。
  • PostgreSQL 登录日志。

DNS 分析程序

ASIM DNS 分析程序在每个工作区都可用。 Microsoft Sentinel 提供以下现成的分析程序:

Source 说明 Parser
规范化 DNS 日志 引入 ASimDnsActivityLogs 表时规范化任何事件。 Azure Monitor 代理的 DNS 连接器使用 ASimDnsActivityLogs 表,受 _Im_Dns_Native 分析程序支持。 _Im_Dns_Native
Azure 防火墙 _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BIND
- BlucCat
同一分析程序支持多个源。 _Im_Dns_InfobloxNIOSVxx
Microsoft DNS 服务器 收集方式:
- Azure Monitor 代理的 DNS 连接器
- NXlog
- Log Analytics 代理的 DNS 连接器(旧版)

_Im_Dns_MicrosoftOMSVxx
请参阅规范化 DNS 日志。
_Im_Dns_MicrosoftNXlogVxx
Sysmon for Windows(事件 22) 收集方式:
- Azure Monitor 代理
- Log Analytics 代理(旧版)

这两个代理都支持收集到
EventWindowsEvent 表。
_Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

文件活动分析程序

要使用 ASIM 文件活动分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • Windows 文件活动
    • 由 Windows(事件 4663)报告:
      • 使用基于 Azure Monitor 代理的安全事件连接器收集到 SecurityEvent 表。
      • 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
      • 使用基于 Log Analytics 代理的安全事件连接器收集到 SecurityEvent 表(旧版)。
    • 使用 Sysmon 文件活动事件(事件 11、23 和 26)报告:
      • 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
      • 使用 Log Analytics 代理收集到事件表(旧版)。
    • Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
  • 使用 Office 活动连接器收集的 Microsoft Office 365 SharePoint 和 OneDrive 事件。
  • Azure 存储,包括 Blob、文件、队列和表存储。

网络会话分析程序

ASIM 网络会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:

Source 说明 Parser
规范化网络会话日志 引入 ASimNetworkSessionLogs 表时规范化任何事件。 Azure Monitor 代理的防火墙连接器使用 ASimNetworkSessionLogs 表,受 _Im_NetworkSession_Native 分析程序支持。 _Im_NetworkSession_Native
AppGate SDP 使用 Syslog 收集的 IP 连接日志。 _Im_NetworkSession_AppGateSDPVxx
AWS VPC 日志 使用 AWS S3 连接器收集。 _Im_NetworkSession_AWSVPCVxx
Azure 防火墙日志 _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection 作为 Azure Monitor VM 见解解决方案的一部分收集。 _Im_NetworkSession_VMConnectionVxx
Azure 网络安全组 (NSG) 日志 作为 Azure Monitor VM 见解解决方案的一部分收集。 _Im_NetworkSession_AzureNSGVxx
检查点防火墙-1 使用 CEF 收集。 _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA 使用 CEF 连接器收集。 _Im_NetworkSession_CiscoASAVxx
Cisco Meraki 使用 Cisco Meraki API 连接器收集。 _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek 使用 Corelight Zeek 连接器收集。 _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS 使用 Syslog 收集的 IP 连接日志。 _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint 防火墙 _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR for Endpoint _Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender for IoT 微代理 _Im_NetworkSession_MD4IoTAgentVxx
Microsoft Defender for IoT 传感器 _Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS 流量日志 使用 CEF 收集。 _Im_NetworkSession_PaloAltoCEFVxx
Sysmon for Linux(事件 3) 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。 _Im_NetworkSession_LinuxSysmonVxx
Vectra AI 支持 pack 参数。 _Im_NetworkSession_VectraIAVxx
Windows 防火墙日志 使用 Azure Monitor 代理(WindowsEvent 表)或 Log Analytics 代理(事件表)(旧版)作为 Windows 事件收集。 支持 Windows 事件 5150 到 5159。 _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW 使用 Syslog 收集。 _Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA 防火墙日志 使用 CEF 收集。 _Im_NetworkSessionZscalerZIAVxx

Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

进程事件分析程序

若要使用 ASIM 进程事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • 安全事件进程创建(事件 4688),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • 安全事件进程终止(事件 4689),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Sysmon 进程创建(事件 1),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Sysmon 进程终止(事件 5),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Microsoft Defender XDR for Endpoint 进程创建

注册表事件分析程序

若要使用 ASIM 注册事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • 安全事件注册表更新(事件 4657 和 4663),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Sysmon 注册表监控事件(事件 12、13 和 14),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Microsoft Endpoint 注册表事件的 Defender XDR

Web 会话分析程序

ASIM Web 会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:

Source 说明 Parser
规范化 Web 会话日志 引入 ASimWebSessionLogs 表时规范化任何事件。 _Im_WebSession_NativeVxx
Internet Information Services (IIS) 日志 通过使用基于 Azure Monitor 代理或 Log Analytics 代理(旧版)的 IIS 连接器收集。 _Im_WebSession_IISVxx
Palo Alto PanOS 威胁日志 使用 CEF 收集。 _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
Vectra AI 流 支持 pack 参数。 _Im_WebSession_VectraAIVxx
Zscaler ZIA 使用 CEF 收集。 _Im_WebSessionZscalerZIAVxx

Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

后续步骤

了解有关 ASIM 分析程序的更多信息:

详细了解 ASIM: