Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument enthält eine Liste der ASIM-Parser (Advanced Security Information Model). Eine Übersicht über ASIM-Parser finden Sie in der Übersicht über Parser. Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
In Parsern, unter denen kein Wert vorhanden Uses pack parameter ist, wird die AdditionalFields Spalte nicht aufgefüllt.
Warnungsereignisparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR Warnungsereignisse (in der AlertEvidence Tabelle). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | SentinelOne Singularity-Bedrohungsereignisse (in der SentinelOne_CL Tabelle). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Audit-Ereignisparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Überwachungsereignisprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimAuditEventLogs Tabelle normalisiert wurde. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-Überwachungsereignisse. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure-Aktivität | Azure Aktivitätsereignisse (in der AzureActivity Tabelle) in der Kategorie Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault Überwachungsereignisse. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Barracuda-Ereignisse, die mithilfe von CEF erfasst werden. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-Ereignisse. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE-Ereignisse. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-Ereignisse, die mit dem API-Connector oder Syslog erfasst werden. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Cisco Meraki-Ereignisse, die in der Syslog-Tabelle erfasst werden. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host Events. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-Ereignisse. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne-Ereignisse. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | In der Event Tabelle erfasste Windows-Überwachungsereignisse |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Exchange Administrative Ereignisse, die mithilfe des Office 365-Connectors (in der OfficeActivity Tabelle) gesammelt wurden. |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsoft-Sicherheitsereignisse | Windows-Ereignis 1102, das mit Azure Monitor-Agent (mithilfe der SecurityEvent Tabellen) gesammelt wurde. |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows-Ereignisse | Windows-Ereignis 1102, das mit Azure Monitor-Agent (mithilfe der WindowsEvent Tabellen) gesammelt wurde. |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-Ereignisse. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR-Überwachungsereignisse. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-Ereignisse. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Authentifizierungsparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Authentifizierungsprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimAuthenticationEventLogs Tabelle normalisiert wurde. |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS-Anmeldungen, die mithilfe des AWS CloudTrail-Connectors erfasst werden. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF-Ereignisse. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Cisco ASA-Ereignisse, die mithilfe von CEF erfasst werden. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE-Ereignisse. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-Ereignisse, die mit dem API-Connector oder Syslog erfasst werden. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-Ereignisse, die in der Syslog-Tabelle erfasst werden. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Host Events. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate-Systemadministratorprotokolle. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Google Workspace-Anmeldungen. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core-Ereignisse. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender für IoT | Microsoft Defender für IoT-Authentifizierungsereignisse. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR für Endpunktanmeldungen für Windows und Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra-ID | Microsoft Entra ID Anmeldungen, die mithilfe des Microsoft Entra-Connectors für reguläre Anmeldungen gesammelt werden. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (nicht interativ) | Microsoft Entra ID Anmeldungen, die mithilfe des Microsoft Entra-Connectors für nicht interaktive Anmeldungen gesammelt werden. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (verwaltete Identitäten) | Microsoft Entra ID Anmeldungen, die mithilfe des Microsoft Entra-Connectors für Anmeldungen mit verwalteten Identitäten erfasst werden. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (Dienstprinzipal) | Microsoft Entra ID Anmeldungen, die mithilfe des Microsoft Entra-Connectors für Dienstprinzipalanmeldungen erfasst werden. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows-Ereignisse | Windows-Anmeldungen (Ereignisse 4624, 4625, 4634, 4647), die mit Azure Monitor-Agent oder dem Log Analytics-Agent für die SecurityEvent Tabellen oder WindowsEvent gesammelt wurden. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Okta-Authentifizierung, die mithilfe des Okta-Connectors (V1 SSO) erfasst wird. | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Okta-Authentifizierung, die mithilfe des Okta-Connectors (V2) erfasst wird. | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Okta-Authentifizierung, die mit in der Tabelle OktaSystemLogs erfasst wird. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-Ereignisse. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | PostgreSQL-Anmeldeprotokolle. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud-Ereignisse. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne-Ereignisse. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux sshd-Aktivität, die mithilfe von Syslog gemeldet wurde. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux su-Aktivität, die mithilfe von Syslog gemeldet wurde. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux mithilfe von Syslog gemeldete sudo-Aktivität. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR-Überwachungsereignisse. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-Ereignisse. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP-Ereignisparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte DHCP-Ereignisprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimDhcpEventLogs Tabelle normalisiert wurde. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP-Ereignisse. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS-Parser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte DNS-Protokolle | Jedes Ereignis, das bei der Erfassung in der ASimDnsActivityLogs Tabelle normalisiert wurde. Der DNS-Connector für den Azure Monitor-Agent verwendet die ASimDnsActivityLogs Tabelle. |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall DNS-Protokolle. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Cisco Umbrella DNS-Protokolle. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Corelight Zeek DNS-Protokolle. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate-DNS-Protokolle. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | DNS-Protokolle der Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS-Ereignisse. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox-NIOS-, BIND- und BlueCat-DNS-Server. Derselbe Parser unterstützt mehrere Quellen. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Wird mithilfe des DNS-Connectors für den Log Analytics-Agent (Legacy) gesammelt. | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS-Server, der mithilfe von NXlog erfasst wurde. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon für Windows (Ereignis) | Sysmon DNS-Ereignisse (Ereignis 22), die mit Azure Monitor-Agent oder dem Log Analytics-Agent (Legacy) in der Event Tabelle gesammelt wurden. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon für Windows (WindowsEvent) | Sysmon DNS-Ereignisse (Ereignis 22), die mit Azure Monitor-Agent oder dem Log Analytics-Agent (Legacy) in der WindowsEvent Tabelle gesammelt wurden. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne-DNS-Ereignisse. | _Im_Dns_SentinelOneVxx |
false |
| Vectra KI | Vectra AI DNS-Ereignisse. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Zscaler ZIA DNS-Protokolle. | _Im_Dns_ZscalerZIAVxx |
Dateiaktivitätsparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Dateiereignisprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimFileEventLogs Tabelle normalisiert wurde. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-Dateiereignisse. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage Dateiereignisse. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Azure File Storage | Azure File Storage-Ereignisse. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure Queue Storage | Azure Queue Storage-Ereignisse. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure Table Storage-Ereignisse. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Google Workspace-Dateiereignisse. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (Erstellte Ereignisse) | Sysmon für Linux Datei erstellte Ereignisse (Ereignisse 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (Gelöschte Ereignisse) | Sysmon für Linux gelöschte Ereignisse (Ereignisse 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR für Endpunktdateiereignisse. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsoft-Sicherheitsereignisse | Windows-Dateiereignisse (Ereignis 4663), die mit dem Connector für Sicherheitsereignisse erfasst werden. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 SharePoint- und OneDrive-Ereignisse, die mithilfe des Office-Aktivitätsconnectors erfasst werden. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon für Windows (Ereignis) | Sysmon für Windows-Dateiereignisse (Ereignisse 11, 23, 26), die in der Event Tabelle erfasst wurden. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon für Windows (WindowsEvent) | Sysmon für Windows-Dateiereignisse (Ereignisse 11, 23, 26), die in der WindowsEvent Tabelle erfasst wurden. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-Ereignisse | In der WindowsEvent Tabelle erfasste Windows-Dateiereignisse (Ereignis 4663). |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-Dateiereignisse. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-Dateiereignisse. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Netzwerksitzungsparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Netzwerksitzungsprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimNetworkSessionLogs Tabelle normalisiert wurde. Der Firewallconnector für den Azure Monitor-Agent verwendet diese Tabelle. |
_Im_NetworkSession_Native |
|
| AppGate SDP | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst werden. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC-Protokolle | Gesammelt mithilfe des AWS S3-Connectors. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall Netzwerkprotokolle. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure Datenflussprotokolle für Netzwerksicherheitsgruppen. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Überwachen der VMConnection | Gesammelt als Teil der Azure Monitor VM Insights-Lösung. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Barracuda-Ereignisse, die mithilfe von CEF erfasst werden. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-Ereignisse. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Prüfpunktfirewall | Prüfpunktfirewallereignisse, die mithilfe von CEF erfasst werden. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Cisco ASA-Ereignisse, die mithilfe von CEF erfasst werden. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower-Ereignisse. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE-Ereignisse. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-Ereignisse, die mit dem API-Connector oder Syslog erfasst werden. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-Ereignisse, die in der Syslog-Tabelle erfasst werden. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek-Netzwerkereignisse. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host Events. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint-Firewall | ForcePoint Firewall-Ereignisse. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-Firewallereignisse, die mithilfe von Syslog erfasst werden. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-Ereignisse. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender für IoT (Agent) | Microsoft Defender für IoT-Micro-Agent-Ereignisse. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender für IoT (Sensor) | Microsoft Defender für IoT-Mikrosensorereignisse. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR für Endpunktnetzwerkereignisse. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon für Linux | Sysmon für Linux Netzwerkereignisse (Ereignis 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon für Windows (Ereignis) | Sysmon für Windows-Netzwerkereignisse (Ereignis 3), die in der Event Tabelle erfasst wurden. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon für Windows (WindowsEvent) | Sysmon für Windows-Netzwerkereignisse (Ereignis 3), die in der WindowsEvent Tabelle erfasst wurden. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Firewall | Windows-Firewallereignisse (Ereignisse 5150-5159), die mit Azure Monitor-Agent oder dem Log Analytics-Agent erfasst wurden. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Microsoft Windows-Sicherheit Events Firewall | Windows-Firewallereignisse, die über den Connector für Sicherheitsereignisse gesammelt werden. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Network Traffic Analytics-Ereignisse. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Palo Alto PanOS-Datenverkehrsprotokolle, die mithilfe von CEF erfasst werden. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-Ereignisse. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne-Netzwerkereignisse. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | SonicWall Firewall-Ereignisse. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra KI | Vectra KI-Netzwerkereignisse. Unterstützt den Pack-Parameter. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-Netzwerkereignisse. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware-Betriebssystem | WatchGuard Fireware-Betriebssystemereignisse, die mithilfe von Syslog erfasst werden. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Zscaler ZIA-Firewallprotokolle, die mithilfe von CEF erfasst werden. | _Im_NetworkSession_ZscalerZIAVxx |
Prozessereignisparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Prozessereignisprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimProcessEventLogs Tabelle normalisiert wurde. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Erstellen) | Sysmon für Linux Prozesserstellungsereignisse (Ereignisse 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Beenden) | Sysmon für Linux Prozessbeendigungsereignisse (Ereignisse 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender für IoT | Microsoft Defender für IoT-Prozessereignisse. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR für Endpunktprozessereignisse. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft-Sicherheitsereignisse (Erstellen) | Windows-Sicherheit Ereignisse prozesserstellungsereignisse (Ereignisse 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsoft-Sicherheitsereignisse (Beenden) | Windows-Sicherheit Ereignisse verarbeiten Beendigungsereignisse (Ereignisse 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon für Windows (Erstellen) | Sysmon für Windows-Prozessereignisse (Ereignis 1), die in den Event Tabellen erfasst werden. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon für Windows (Beenden) | Sysmon für Windows-Prozessereignisse (Ereignis 5), die in den Event Tabellen erfasst werden. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows-Ereignisse (Erstellen) | In der WindowsEvent Tabelle erfasste Windows-Prozessereignisse (Ereignis 4688). |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows-Ereignisse (Beenden) | In der WindowsEvent Tabelle erfasste Windows-Prozessereignisse (Ereignis 4689). |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-Prozessereignisse. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One Prozessereignisse. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Erstellen) | VMware Carbon Black Cloud-Prozesserstellungsereignisse. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Beenden) | VMware Carbon Black Cloud-Prozessbeendigungsereignisse. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Registrierungsereignisparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Registrierungsereignisprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimRegistryEventLogs Tabelle normalisiert wurde. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR für Endpunktregistrierungsereignisse. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsoft-Sicherheitsereignisse | Windows-Sicherheit Ereignisse registrierungsereignisse (Ereignisse 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon für Windows | Sysmon für Windows-Registrierungsereignisse (Ereignisse 12, 13, 14), die in den Event Tabellen oder WindowsEvent gesammelt wurden. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows-Ereignisse | In der WindowsEvent Tabelle erfasste Windows-Registrierungsereignisse. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-Registrierungsereignisse. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One-Registrierungsereignisse. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-Registrierungsereignisse. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Benutzerverwaltungsparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Benutzerverwaltungsprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimUserManagementLogs Tabelle normalisiert wurde. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail-Benutzerverwaltungsereignisse. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE-Benutzerverwaltungsereignisse. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux authpriv-Benutzerverwaltungsereignisse. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsoft-Sicherheitsereignisse | Windows-Sicherheit Ereignisse für die Benutzerverwaltung. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows-Ereignisse | Windows-Benutzerverwaltungsereignisse, die in der WindowsEvent Tabelle gesammelt werden. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-Benutzerverwaltungsereignisse. | _Im_UserManagement_SentinelOneVxx |
false |
Websitzungsparser
| Source | Hinweise | Parser | Verwendet den Pack-Parameter. |
|---|---|---|---|
| Normalisierte Websitzungsprotokolle | Jedes Ereignis, das bei der Erfassung in der ASimWebSessionLogs Tabelle normalisiert wurde. |
_Im_WebSession_Native |
|
| Apache HTTP Server | Apache HTTP Server-Protokolle. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall Websitzungsprotokolle. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Barracuda-Ereignisse, die mithilfe von CEF erfasst werden. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF-Ereignisse. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower-Webereignisse. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki-Webereignisse. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Citrix NetScaler-Webereignisse. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM-Webereignisse. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-Websitzungsprotokolle. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internetinformationsdienste (IIS) | IIS-Protokolle, die mit Azure Monitor-Agent oder Log Analytics-Agent gesammelt werden. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Palo Alto PanOS-Bedrohungsprotokolle, die mithilfe von CEF gesammelt wurden. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-Ereignisse. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | SonicWall Firewall-Webereignisse. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Squid-Proxy | Webprotokolle des Squid-Proxys. | _Im_WebSession_SquidProxyVxx |
|
| Vectra KI | Vectra KI-Webereignisse. Unterstützt den Pack-Parameter. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Zscaler ZIA-Webprotokolle, die mit CEF gesammelt werden. | _Im_WebSession_ZscalerZIAVxx |
Nächste Schritte
Erfahren Sie mehr über ASIM-Parser:
Weitere Informationen zu ASIM:
- Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)