你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 高级安全信息模型 (ASIM) 分析程序的列表(公共预览版)
本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。 有关 ASIM 分析程序的概述,请参阅分析程序概述。 若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
重要
ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
警报事件分析器
若要使用 ASIM 警报事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
Source | 说明 | Parser |
---|---|---|
Defender XDR 警报 | Microsoft Defender XDR 警报事件(表中 AlertEvidence )。 |
ASimAlertEventMicrosoftDefenderXDR |
SentinelOne Singularity | SentinelOne Singularity Threats. 事件(在 SentinelOne_CL 表中)。 |
ASimAlertEventSentinelOneSingularity |
审核事件分析程序
若要使用 ASIM 审核事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
Source | 说明 | Parser |
---|---|---|
Azure 活动管理事件 | Administrative 类别中的 Azure 活动事件(位于 AzureActivity 表中)。 |
ASimAuditEventAzureActivity |
Exchange 365 管理事件 | 使用 Office 365 连接器收集的 Exchange 管理事件(位于 OfficeActivity 表中)。 |
ASimAuditEventMicrosoftOffice365 |
Windows 日志清除事件 | 使用 Log Analytics 代理安全事件连接器(旧版)或 Azure Monitor 代理安全事件和 WEF 连接器(使用 SecurityEvent 、WindowsEvent 或 Event 表)收集的 Windows 事件 1102。 |
ASimAuditEventMicrosoftWindowsEvents |
身份验证分析程序
若要使用 ASIM 身份验证分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- Windows 登录
- 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。
- 使用安全事件连接器收集到 SecurityEvent 表,或使用 WEF 连接器连接到 WindowsEvent 表。
- 报告为安全事件(4624、4625、4634 和 4647)。
- 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
- Linux 登录
- 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
- 使用 Syslog 报告的
su
、sudo
和sshd
活动。 - 由 Microsoft Defender 报告到 IoT 终结点。
- Microsoft Entra 登录,使用 Microsoft Entra 连接器收集。 针对常规、非交互式、托管标识和服务主体登录提供了单独的分析器。
- 使用 AWS CloudTrail 连接器收集的 AWS 登录。
- 使用 Okta 连接器收集的 Okta 身份验证。
- PostgreSQL 登录日志。
DNS 分析程序
ASIM DNS 分析程序在每个工作区都可用。 Microsoft Sentinel 提供以下现成的分析程序:
Source | 说明 | Parser |
---|---|---|
规范化 DNS 日志 | 引入 ASimDnsActivityLogs 表时规范化任何事件。 Azure Monitor 代理的 DNS 连接器使用 ASimDnsActivityLogs 表,受 _Im_Dns_Native 分析程序支持。 |
_Im_Dns_Native |
Azure 防火墙 | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - BIND - BlucCat |
同一分析程序支持多个源。 | _Im_Dns_InfobloxNIOSVxx |
Microsoft DNS 服务器 | 收集方式: - Azure Monitor 代理的 DNS 连接器 - NXlog - Log Analytics 代理的 DNS 连接器(旧版) |
_Im_Dns_MicrosoftOMSVxx 请参阅规范化 DNS 日志。 _Im_Dns_MicrosoftNXlogVxx |
Sysmon for Windows(事件 22) | 收集方式: - Azure Monitor 代理 - Log Analytics 代理(旧版) 这两个代理都支持收集到 Event 和 WindowsEvent 表。 |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
文件活动分析程序
要使用 ASIM 文件活动分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- Windows 文件活动
- 由 Windows(事件 4663)报告:
- 使用基于 Azure Monitor 代理的安全事件连接器收集到 SecurityEvent 表。
- 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
- 使用基于 Log Analytics 代理的安全事件连接器收集到 SecurityEvent 表(旧版)。
- 使用 Sysmon 文件活动事件(事件 11、23 和 26)报告:
- 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
- 使用 Log Analytics 代理收集到事件表(旧版)。
- 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
- 由 Windows(事件 4663)报告:
- 使用 Office 活动连接器收集的 Microsoft Office 365 SharePoint 和 OneDrive 事件。
- Azure 存储,包括 Blob、文件、队列和表存储。
网络会话分析程序
ASIM 网络会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:
Source | 说明 | Parser |
---|---|---|
规范化网络会话日志 | 引入 ASimNetworkSessionLogs 表时规范化任何事件。 Azure Monitor 代理的防火墙连接器使用 ASimNetworkSessionLogs 表,受 _Im_NetworkSession_Native 分析程序支持。 |
_Im_NetworkSession_Native |
AppGate SDP | 使用 Syslog 收集的 IP 连接日志。 | _Im_NetworkSession_AppGateSDPVxx |
AWS VPC 日志 | 使用 AWS S3 连接器收集。 | _Im_NetworkSession_AWSVPCVxx |
Azure 防火墙日志 | _Im_NetworkSession_AzureFirewallVxx |
|
Azure Monitor VMConnection | 作为 Azure Monitor VM 见解解决方案的一部分收集。 | _Im_NetworkSession_VMConnectionVxx |
Azure 网络安全组 (NSG) 日志 | 作为 Azure Monitor VM 见解解决方案的一部分收集。 | _Im_NetworkSession_AzureNSGVxx |
检查点防火墙-1 | 使用 CEF 收集。 | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | 使用 CEF 连接器收集。 | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | 使用 Cisco Meraki API 连接器收集。 | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | 使用 Corelight Zeek 连接器收集。 | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | 使用 Syslog 收集的 IP 连接日志。 | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint 防火墙 | _Im_NetworkSession_ForcePointFirewallVxx |
|
Microsoft Defender XDR for Endpoint | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Microsoft Defender for IoT 微代理 | _Im_NetworkSession_MD4IoTAgentVxx |
|
Microsoft Defender for IoT 传感器 | _Im_NetworkSession_MD4IoTSensorVxx |
|
Palo Alto PanOS 流量日志 | 使用 CEF 收集。 | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon for Linux(事件 3) | 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。 | _Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | 支持 pack 参数。 | _Im_NetworkSession_VectraIAVxx |
Windows 防火墙日志 | 使用 Azure Monitor 代理(WindowsEvent 表)或 Log Analytics 代理(事件表)(旧版)作为 Windows 事件收集。 支持 Windows 事件 5150 到 5159。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Watchguard FirewareOW | 使用 Syslog 收集。 | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Zscaler ZIA 防火墙日志 | 使用 CEF 收集。 | _Im_NetworkSessionZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
进程事件分析程序
若要使用 ASIM 进程事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- 安全事件进程创建(事件 4688),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- 安全事件进程终止(事件 4689),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Sysmon 进程创建(事件 1),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Sysmon 进程终止(事件 5),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Microsoft Defender XDR for Endpoint 进程创建
注册表事件分析程序
若要使用 ASIM 注册事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- 安全事件注册表更新(事件 4657 和 4663),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Sysmon 注册表监控事件(事件 12、13 和 14),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Microsoft Endpoint 注册表事件的 Defender XDR
Web 会话分析程序
ASIM Web 会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:
Source | 说明 | Parser |
---|---|---|
规范化 Web 会话日志 | 引入 ASimWebSessionLogs 表时规范化任何事件。 |
_Im_WebSession_NativeVxx |
Internet Information Services (IIS) 日志 | 通过使用基于 Azure Monitor 代理或 Log Analytics 代理(旧版)的 IIS 连接器收集。 | _Im_WebSession_IISVxx |
Palo Alto PanOS 威胁日志 | 使用 CEF 收集。 | _Im_WebSession_PaloAltoCEFVxx |
Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
Vectra AI 流 | 支持 pack 参数。 | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | 使用 CEF 收集。 | _Im_WebSessionZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
后续步骤
了解有关 ASIM 分析程序的更多信息:
详细了解 ASIM: