Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Dette dokument indeholder en liste over ASIM-fortolkninger (Advanced Security Information Model). Du kan finde en oversigt over ASIM-fortolkninger i oversigten over fortolkninger. Se ASIM-arkitekturdiagrammet for at forstå, hvordan fortolkere passer inden for ASIM-arkitekturen.
Fortolkere, der ikke har en værdi under Uses pack parameter , har ikke udfyldt kolonnen AdditionalFields .
Fortolkere af hændelsesbeskeder
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR vigtige hændelser (i tabellenAlertEvidence). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | SentinelOne Singularity-trusselshændelser (i tabellen SentinelOne_CL ). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Fortolkning af overvågningshændelser
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede overvågningshændelseslogge | Enhver hændelse normaliseret ved indtagelse til tabellen ASimAuditEventLogs . |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-overvågningshændelser. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure aktivitet | Azure Aktivitetshændelser (i tabellenAzureActivity) i kategorien Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault overvågningshændelser. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda-CEF | Barracudahændelser indsamlet ved hjælp af CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-hændelser. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE-hændelser. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-hændelser, der indsamles ved hjælp af API-connectoren eller Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Cisco Meraki-hændelser, der indsamles til tabellen Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host-begivenheder. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-hændelser. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne-hændelser. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | Windows-overvågningshændelser, der indsamles i tabellen Event |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Exchange Administrative hændelser, der indsamles ved hjælp af Office 365-connectoren (i tabellenOfficeActivity). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsoft-sikkerhedshændelser | Windows Event 1102 indsamlet ved hjælp af Azure Monitor Agent (ved hjælp af tabellerneSecurityEvent). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows-hændelser | Windows Event 1102 indsamlet ved hjælp af Azure Monitor Agent (ved hjælp af tabellerneWindowsEvent). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-hændelser. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR-overvågningshændelser. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-hændelser. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Godkendelsesparsere
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede godkendelseslogge | Enhver hændelse normaliseret ved indtagelse til tabellen ASimAuthenticationEventLogs . |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS-logon, der indsamles ved hjælp af AWS CloudTrail-connectoren. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF-hændelser. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Cisco ASA-hændelser, der indsamles ved hjælp af CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE-hændelser. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-hændelser, der indsamles ved hjælp af API-connectoren eller Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-hændelser, der indsamles til tabellen Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Host-begivenheder. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate systemadministratorlogge. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Logon til Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core-hændelser. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender til IoT | Microsoft Defender til IoT-godkendelseshændelser. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for Slutpunktlogon til Windows og Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID logons, der indsamles ved hjælp af Microsoft Entra-connectoren til almindelige logons. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (ikke-interative) | Microsoft Entra ID logons, der indsamles ved hjælp af Microsoft Entra-connectoren til ikke-interaktive logons. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (administrerede identiteter) | Microsoft Entra ID logons, der indsamles ved hjælp af Microsoft Entra-connectoren til logon til administrerede identiteter. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (tjenesteprincipal) | Microsoft Entra ID logons, der indsamles ved hjælp af Microsoft Entra-connectoren til logon på tjenesteprincipaler. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows-hændelser | Windows-logons (Hændelser 4624, 4625, 4634, 4647), der er indsamlet ved hjælp af Azure Monitor Agent eller Log Analytics Agent til tabellerne SecurityEvent eller WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Okta-godkendelse, der indsamles ved hjælp af Okta-connectoren (V1 SSO). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Okta-godkendelse, der indsamles ved hjælp af Okta-connectoren (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Okta-godkendelse, der indsamles ved hjælp af i tabellen OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-hændelser. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| Postgresql | PostgreSQL-logonlogge. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud-hændelser. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne-hændelser. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux sshd-aktivitet rapporteret ved hjælp af Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux su-aktivitet rapporteret ved hjælp af Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux sudo-aktivitet, der er rapporteret ved hjælp af Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR-overvågningshændelser. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-hændelser. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP-hændelsesparsere
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede DHCP-hændelseslogge | Enhver hændelse normaliseret ved indtagelse til tabellen ASimDhcpEventLogs . |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP-hændelser. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS-fortolkere
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede DNS-logge | Enhver hændelse normaliseret ved indtagelse til tabellen ASimDnsActivityLogs . DNS-connectoren til Azure Monitor Agent bruger tabellenASimDnsActivityLogs. |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall DNS-logfiler. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Cisco Umbrella DNS-logge. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Corelight Zeek DNS-logge. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS-logge. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Google Cloud Platform DNS-logge. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS-hændelser. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS-, BIND- og BlueCat DNS-servere. Den samme parser understøtter flere kilder. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS-server | Indsamles ved hjælp af DNS-connectoren til Log Analytics Agent (ældre). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS Server, der indsamles ved hjælp af NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon til Windows (hændelse) | Sysmon DNS-hændelser (Hændelse 22), der indsamles ved hjælp af Azure Monitor Agent eller Log Analytics Agent (ældre) til tabellenEvent. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon til Windows (WindowsEvent) | Sysmon DNS-hændelser (Hændelse 22), der indsamles ved hjælp af Azure Monitor Agent eller Log Analytics Agent (ældre) til tabellenWindowsEvent. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS-hændelser. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Vectra AI DNS-hændelser. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Zscaler ZIA DNS-logge. | _Im_Dns_ZscalerZIAVxx |
Filaktivitetsparsere
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede filhændelseslogge | Enhver hændelse normaliseret ved indtagelse til tabellen ASimFileEventLogs . |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-filhændelser. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage filhændelser. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Azure fillager | Azure Hændelser for fillager. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure kølager | Azure Queue Storage-hændelser. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure tabellager | Azure Table Storage-hændelser. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Google Workspace-filhændelser. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (oprettede hændelser) | Sysmon for Linux oprettede hændelser (Hændelser 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (slettede hændelser) | Sysmon for Linux slettede hændelser (hændelse 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for hændelser i slutpunktsfiler. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsoft-sikkerhedshændelser | Windows-filhændelser (Event 4663), der indsamles ved hjælp af connectoren Security Events. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 SharePoint- og OneDrive-hændelser, der indsamles ved hjælp af Office Activity-connectoren. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon til Windows (hændelse) | Sysmon til Windows-filhændelser (Hændelser 11, 23, 26), der indsamles til tabellen Event . |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon til Windows (WindowsEvent) | Sysmon til Windows-filhændelser (Hændelser 11, 23, 26), der indsamles til tabellen WindowsEvent . |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-hændelser | Windows-filhændelser (Hændelse 4663), der indsamles i tabellen WindowsEvent . |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-filhændelser. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-filhændelser. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Fortolkere af netværkssession
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede logge for netværkssessioner | Enhver hændelse normaliseret ved indtagelse til tabellen ASimNetworkSessionLogs . Firewall-connectoren til Azure Monitor Agent bruger denne tabel. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Ip-forbindelseslogge, der indsamles ved hjælp af Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC-logfiler | Indsamles ved hjælp af AWS S3-connectoren. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall netværkslogfiler. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure flowlogge for netværkssikkerhedsgrupper. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure skærm VMConnection | Indsamles som en del af Azure Monitor VM Insights-løsningen. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda-CEF | Barracudahændelser indsamlet ved hjælp af CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-hændelser. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Checkpoint Firewall | Checkpoint Firewall-hændelser, der indsamles ved hjælp af CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Cisco ASA-hændelser, der indsamles ved hjælp af CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower-hændelser. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE-hændelser. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-hændelser, der indsamles ved hjælp af API-connectoren eller Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-hændelser, der indsamles til tabellen Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek-netværkshændelser. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host-begivenheder. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint Firewall | ForcePoint Firewall-hændelser. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate firewallhændelser, der indsamles ved hjælp af Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-hændelser. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender til IoT (agent) | Microsoft Defender til IoT-mikroagenthændelser. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender til IoT (sensor) | Microsoft Defender til IoT-mikrosensorhændelser. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for slutpunktsnetværkshændelser. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon til Linux | Sysmon til Linux netværkshændelser (hændelse 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon til Windows (hændelse) | Sysmon til Windows-netværkshændelser (Hændelse 3), der er indsamlet til tabellen Event . |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon til Windows (WindowsEvent) | Sysmon til Windows-netværkshændelser (Hændelse 3), der er indsamlet til tabellen WindowsEvent . |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Firewall | Windows Firewall-hændelser (Events 5150-5159), der indsamles ved hjælp af Azure Monitor Agent eller Log Analytics Agent. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Firewall for Microsoft Windows Sikkerhed-hændelser | Windows Firewall-hændelser, der indsamles via connectoren Sikkerhedshændelser. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Network Traffic Analytics-hændelser. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Palo Alto PanOS-trafiklogge, der indsamles ved hjælp af CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-hændelser. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne netværkshændelser. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | SonicWall Firewall-hændelser. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Vectra AI-netværkshændelser. Understøtter pakkeparameteren. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-netværkshændelser. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | WatchGuard Fireware OS-hændelser, der indsamles ved hjælp af Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Zscaler ZIA-firewalllogge, der indsamles ved hjælp af CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Proceshændelsesparsere
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede hændelseslogge for proces | Enhver hændelse normaliseret ved indtagelse til tabellen ASimProcessEventLogs . |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Opret) | Sysmon for Linux procesoprettelseshændelser (hændelser 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (afslut) | Sysmon for Linux procesafslutningshændelser (Hændelser 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender til IoT | Microsoft Defender til IoT-proceshændelser. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for slutpunktsproceshændelser. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft-sikkerhedshændelser (opret) | Windows Sikkerhed hændelser for oprettelse af hændelsesprocesser (Hændelser 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsoft-sikkerhedshændelser (afslut) | Windows Sikkerhed Hændelser, procesafslutningshændelser (Hændelser 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon til Windows (Opret) | Sysmon til Windows-proceshændelser (Hændelse 1), der indsamles til tabellerne Event . |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon til Windows (afslut) | Sysmon til Windows-proceshændelser (Hændelse 5), der indsamles til tabellerne Event . |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows-hændelser (opret) | Windows-proceshændelser (Hændelse 4688), der er indsamlet til tabellen WindowsEvent . |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows-hændelser (afslut) | Windows-proceshændelser (Event 4689) indsamles i tabellen WindowsEvent . |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne proceshændelser. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One-proceshændelser. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Opret) | VMware Carbon Black Cloud-procesoprettelseshændelser. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Afslut) | VMware Carbon Black Cloud-procesafslutningshændelser. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Fortolkere af registreringsdatabasehændelser
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede hændelseslogge i registreringsdatabasen | Enhver hændelse normaliseret ved indtagelse til tabellen ASimRegistryEventLogs . |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR for hændelser i registreringsdatabasen for Slutpunkt. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsoft-sikkerhedshændelser | Windows Sikkerhed Hændelser i registreringsdatabasen (Hændelser 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon til Windows | Sysmon til Windows-registreringsdatabasehændelser (Hændelser 12, 13, 14), der indsamles til tabellerne Event eller WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows-hændelser | Windows-hændelser i registreringsdatabasen, der indsamles til tabellen WindowsEvent . |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne hændelser i registreringsdatabasen. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One-hændelser i registreringsdatabasen. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-registreringsdatabasehændelser. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Fortolkninger af brugeradministration
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede brugeradministrationslogge | Enhver hændelse normaliseret ved indtagelse til tabellen ASimUserManagementLogs . |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail-hændelser for brugeradministration. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE-brugeradministrationshændelser. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux godkendelseshændelser for brugeradministration. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsoft-sikkerhedshændelser | Windows Sikkerhed Hændelser for brugeradministrationshændelser. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows-hændelser | Windows-brugeradministrationshændelser, der indsamles til tabellen WindowsEvent . |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne brugeradministrationshændelser. | _Im_UserManagement_SentinelOneVxx |
false |
Fortolkere af websession
| Kilde | Bemærkninger | Parser | Bruger pakkeparameter |
|---|---|---|---|
| Normaliserede logfiler for websession | Enhver hændelse normaliseret ved indtagelse til tabellen ASimWebSessionLogs . |
_Im_WebSession_Native |
|
| Apache HTTP-server | Apache HTTP-serverlogge. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall logge for websessionen. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda-CEF | Barracudahændelser indsamlet ved hjælp af CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF-hændelser. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower-webhændelser. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki-webhændelser. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Citrix NetScaler-webhændelser. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM-webhændelser. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-websessionslogge. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | IIS-logge, der indsamles ved hjælp af Azure Monitor Agent eller Log Analytics Agent. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Palo Alto PanOS-trusselslogge, der indsamles ved hjælp af CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-hændelser. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | SonicWall Firewall-webhændelser. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Sprøjteproxy | Squid Proxy-weblogge. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI-webhændelser. Understøtter pakkeparameteren. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Zscaler ZIA-weblogge, der indsamles ved hjælp af CEF. | _Im_WebSession_ZscalerZIAVxx |
Næste trin
Få mere at vide om ASIM-fortolkere:
Få mere at vide om ASIM: