قائمة محللات نموذج معلومات الأمان المتقدمة (ASIM) لـMicrosoft Sentinel (معاينة عامة)

يوفر هذا المستند قائمة بتحليلات نموذج معلومات الأمان المتقدمة (ASIM). للحصول على نظرة عامة على محللات ASIM، راجع نظرة عامة على المحللات. لفهم كيفية احتواء المحلات ضمن بنية نموذج معلومات الأمان المتقدم، راجع مخطط بنية نموذج معلومات الأمان المتقدم.

هام

ASIM في وضع PREVIEW حاليًا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

محللات أحداث التدقيق

لاستخدام محللات أحداث تدقيق ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

Source	ملاحظات	محلل
الأحداث الإدارية لنشاط Azure	أحداث نشاط Azure (في AzureActivity الجدول) في الفئة Administrative.	ASimAuditEventAzureActivity
أحداث Exchange 365 الإدارية	أحداث Exchange الإدارية التي تم جمعها باستخدام موصل Office 365 (في OfficeActivity الجدول).	ASimAuditEventMicrosoftOffice365
حدث مسح سجل Windows	تم جمع Windows Event 1102 باستخدام موصل أحداث أمان عامل Log Analytics أو أحداث أمان عامل مراقبة Azure وموصلات WEF (باستخدام SecurityEventWindowsEventالجداول أو أو ).Event	ASimAuditEventMicrosoftWindowsEvents

محللات المصادقة

لاستخدام محللات مصادقة ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

• عمليات تسجيل الدخول إلى Windows
  • تم جمعها باستخدام عامل Log Analytics أو عامل Azure Monitor.
  • يتم تجميعها باستخدام موصلات أحداث الأمان إلى جدول SecurityEvent أو باستخدام موصل WEF بجدول WindowsEvent.
  • تم الإبلاغ عنها كأحداث أمان (4624 و4625 و4634 و4647).
  • تم الإبلاغ عنها بواسطة Microsoft Defender XDR لنقطة النهاية، والتي تم جمعها باستخدام موصل Microsoft Defender XDR.
• عمليات تسجيل الدخول إلى Linux
  • تم الإبلاغ عنها بواسطة Microsoft Defender XDR لنقطة النهاية، والتي تم جمعها باستخدام موصل Microsoft Defender XDR.
  • su، sudu، والنشاط sshd الذي تم الإبلاغ عنه باستخدام Syslog.
  • تم الإبلاغ عنها بواسطة Microsoft Defender إلى نقطة نهاية IoT.
• عمليات تسجيل الدخول إلى Microsoft Entra، التي تم جمعها باستخدام موصل Microsoft Entra. يتم توفير محللات منفصلة لتسجيل الدخول المنتظم وغير التفاعلي والهويات المدارة ومبادئ الخدمة.
• عمليات تسجيل الدخول إلى AWS، التي تم جمعها باستخدام موصل AWS CloudTrail.
• مصادقة Okta، التي تم جمعها باستخدام موصل Okta.
• سجلات تسجيل الدخول إلى PostgreSQL.

محللات DNS

تتوفر محللات ASIM DNS في كل مساحة عمل. يوفر Microsoft Sentinel المحللات الجاهزة التالية:

Source	ملاحظات	محلل
سجلات DNS التي تمت تسويتها	أي حدث تمت تسويته عند الاستيعاب إلى ASimDnsActivityLogs الجدول. يستخدم ASimDnsActivityLogs موصل DNS لعامل Azure Monitor الجدول ويدعمه _Im_Dns_Native المحلل.	_Im_Dns_Native
Azure Firewall		_Im_Dns_AzureFirewallVxx
Cisco Umbrella		_Im_Dns_CiscoUmbrellaVxx
Corelight Zeek		_Im_Dns_CorelightZeekVxx
GCP DNS		_Im_Dns_GcpVxx
- Infoblox NIOS - BIND - BlucCat	تدعم نفس المحللات مصادر متعددة.	_Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server	تم جمعها باستخدام: - موصل DNS لعامل تحليلات السجل - موصل DNS لعامل Azure Monitor - NXlog	_Im_Dns_MicrosoftOMSVxx راجع سجلات DNS العادية. _Im_Dns_MicrosoftNXlogVxx
Sysmon for Windows (الحدث 22)	تم جمعها باستخدام: - عامل Log Analytics - عامل Azure Monitor لكلا الوكيلين، يجمع كلاهما إلى Event والجداول WindowsEvent مدعومة.	_Im_Dns_MicrosoftSysmonVxx
Vectra الذكاء الاصطناعي		_Im_Dns_VectraIAVxx
Zscaler ZIA		_Im_Dns_ZscalerZIAVxx

انشر إصدار محللات مساحة العمل المنشورة من مستودع Microsoft Sentinel GitHub.

محللات نشاط الملف

لاستخدام محللات نشاط ملف ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

• نشاط ملف Windows
  • تم الإبلاغ عنه بواسطة Windows (الحدث 4663):
    • تم جمعها باستخدام موصل أحداث الأمان المستندة إلى عامل تحليلات السجل إلى جدول SecurityEvent.
    • تم جمعها باستخدام موصل أحداث الأمان المستندة إلى عامل Azure Monitor إلى جدول SecurityEvent.
    • تم جمعها باستخدام موصل WEF المستند إلى عامل Azure Monitor (إعادة توجيه أحداث Windows) إلى جدول WindowsEvent.
  • تم الإبلاغ عنه باستخدام أحداث نشاط ملف Sysmon (الأحداث 11 و23 و26):
    • تم جمعها باستخدام عامل Log Analytics إلى جدول الأحداث.
    • تم جمعها باستخدام موصل WEF المستند إلى عامل Azure Monitor (إعادة توجيه أحداث Windows) إلى جدول WindowsEvent.
  • تم الإبلاغ عنه بواسطة Microsoft Defender XDR لنقطة النهاية، التي تم جمعها باستخدام موصل Microsoft Defender XDR.
• Microsoft Office 365 أحداث SharePoint وOneDrive، التي تم جمعها باستخدام موصل نشاط Office.
• Azure Storage، بما في ذلك Blob وFilage وQueue وTable Storage.

محللات جلسة عمل الشبكة

تتوفر محللات جلسة عمل شبكة ASIM في كل مساحة عمل. يوفر Microsoft Sentinel المحللات الجاهزة التالية:

Source	ملاحظات	محلل
سجلات جلسة عمل الشبكة التي تمت تسويتها	أي حدث تمت تسويته عند الاستيعاب إلى ASimNetworkSessionLogs الجدول. يستخدم ASimNetworkSessionLogs موصل جدار الحماية لعامل Azure Monitor الجدول ويدعمه _Im_NetworkSession_Native المحلل.	_Im_NetworkSession_Native
AppGate SDP	سجلات اتصال عناوين IP التي تم جمعها باستخدام Syslog.	_Im_NetworkSession_AppGateSDPVxx
سجلات AWS VPC	تم جمعها باستخدام موصل AWS S3.	_Im_NetworkSession_AWSVPCVxx
سجلات Azure Firewall		_Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection	تم جمعها كجزء من حل Azure Monitor VM Insights.	_Im_NetworkSession_VMConnectionVxx
سجلات مجموعات أمان شبكة Azure	تم جمعها كجزء من حل Azure Monitor VM Insights.	_Im_NetworkSession_AzureNSGVxx
Checkpoint Firewall-1	تم جمعها باستخدام CEF.	_Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA	تم جمعها باستخدام موصل CEF.	_Im_NetworkSession_CiscoASAVxx
Cisco Meraki	تم جمعها باستخدام موصل Cisco Meraki API.	_Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek	تم جمعها باستخدام موصل Corelight Zeek.	_im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS	سجلات اتصال عناوين IP التي تم جمعها باستخدام Syslog.	_Im_NetworkSession_FortinetFortiGateVxx
جدار حماية ForcePoint		_Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR لنقطة النهاية		_Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender for IoT micro agent		_Im_NetworkSession_MD4IoTAgentVxx
مستشعر Microsoft Defender ل IoT		_Im_NetworkSession_MD4IoTSensorVxx
سجلات نسبة استخدام الشبكة لـPalo Alto PanOS	تم جمعها باستخدام CEF.	_Im_NetworkSession_PaloAltoCEFVxx
Sysmon لنظام Linux (الحدث 3)	تم جمعها باستخدام عامل Log Analytics أو عامل Azure Monitor.	_Im_NetworkSession_LinuxSysmonVxx
Vectra الذكاء الاصطناعي	يدعم معلمة الحزمة.	_Im_NetworkSession_VectraIAVxx
Windows Firewall Logs	يتم تجميعها كأحداث Windows باستخدام عامل تحليلات السجل (جدول الأحداث) أو عامل مراقبة Azure (جدول WindowsEvent). يدعم أحداث Windows من 5150 إلى 5159.	_Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW	تم جمعها باستخدام Syslog.	_Im_NetworkSession_WatchGuardFirewareOSVxx
سجلات جدار حماية Zscaler ZIA	تم جمعها باستخدام CEF.	_Im_NetworkSessionZscalerZIAVxx

انشر إصدار محللات مساحة العمل المنشورة من مستودع Microsoft Sentinel GitHub.

محللات أحداث العملية

لاستخدام محللات أحداث عملية ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

• إنشاء عملية أحداث الأمان (الحدث 4688)، التي تم جمعها باستخدام عامل Log Analytics أو عامل Azure Monitor
• إنهاء عملية أحداث الأمان (الحدث 4689)، الذي تم جمعه باستخدام عامل Log Analytics أو عامل Azure Monitor
• إنشاء عملية Sysmon (الحدث 1)، التي تم جمعها باستخدام عامل Log Analytics أو عامل Azure Monitor
• إنهاء عملية Sysmon (الحدث 5)، الذي تم جمعه باستخدام عامل Log Analytics أو عامل Azure Monitor
• Microsoft Defender XDR لإنشاء عملية نقطة النهاية

محللات أحداث السجل

لاستخدام محللات أحداث سجل ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

• تحديث سجل أحداث الأمان (الأحداث 4657 و4663)، الذي تم جمعه باستخدام عامل Log Analytics أو عامل Azure Monitor
• أحداث مراقبة سجل Sysmon (الأحداث 12 و13 و14) التي تم جمعها باستخدام عامل Log Analytics أو عامل Azure Monitor
• Microsoft Defender XDR لأحداث تسجيل نقطة النهاية

محللات جلسة ويب

تتوفر محللات جلسة عمل ويب ASIM في كل مساحة عمل. يوفر Microsoft Sentinel المحللات الجاهزة التالية:

Source	ملاحظات	محلل
سجلات جلسة عمل ويب التي تمت تسويتها	أي حدث تمت تسويته عند الاستيعاب إلى ASimWebSessionLogs الجدول.	_Im_WebSession_NativeVxx
سجلات خدمات معلومات الإنترنت (IIS)	يتم جمعها باستخدام موصلات IIS المستندة إلى AMA أو Log Analytics Agent.	_Im_WebSession_IISVxx
سجلات تهديدات Palo Alto PanOS	تم جمعها باستخدام CEF.	_Im_WebSession_PaloAltoCEFVxx
Squid Proxy		_Im_WebSession_SquidProxyVxx
تدفقات Vectra الذكاء الاصطناعي	يدعم معلمة الحزمة.	_Im_WebSession_VectraAIVxx
Zscaler ZIA	تم جمعها باستخدام CEF.	_Im_WebSessionZscalerZIAVxx

انشر إصدار محللات مساحة العمل المنشورة من مستودع Microsoft Sentinel GitHub.

الخطوات التالية

تعرف على المزيد حول محللات ASIM:

• استخدام محللات ASIM
• تطوير محللات ASIM مخصصة
• إدارة محللات ASIM

معرفة المزيد حول ASIM:

• شاهد ندوة الإنترنت المتعمقة حول محللات تسوية Microsoft Azure Sentinel والمحتوى الذي تمت تسويته أو راجع الشرائح
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• محتوى نموذج معلومات الأمان المتقدمة (ASIM)