Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument enthält eine Liste der ASIM-Parser (Advanced Security Information Model). Eine Übersicht über ASIM-Parser finden Sie in der Übersicht über Parser. Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Wichtig
ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Warnungsereignisparser
Um ASIM-Ereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
Quelle | Hinweise | Parser |
---|---|---|
Defender XDR-Warnungen | Microsoft Defender XDR-Warnungsereignisse (in der AlertEvidence Tabelle). |
ASimAlertEventMicrosoftDefenderXDR |
SentinelOne Singularity | SentinelOne Singularity-Ereignisse Threats. (in der SentinelOne_CL Tabelle). |
ASimAlertEventSentinelOneSingularity |
Überwachungsereignisparser
Um ASIM-Überwachungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
Quelle | Hinweise | Parser |
---|---|---|
Administrative Azure-Aktivitätsereignisse | Azure-Aktivitätsereignisse (in der AzureActivity -Tabelle) in der Kategorie Administrative . |
ASimAuditEventAzureActivity |
Administrative Exchange 365-Ereignisse | Administrative Exchange-Ereignisse, die mithilfe des Office 365-Connectors (in der OfficeActivity -Tabelle) erfasst werden. |
ASimAuditEventMicrosoftOffice365 |
Windows-Protokolllöschereignisse | Windows-Ereignis 1102, das mit dem Log Analytics Agent Security Events Connector (Legacy) oder dem Azure Monitor Agent Security Events and WEF Connectors (mit den SecurityEvent , WindowsEvent oder Event Tabellen) gesammelt wurde. |
ASimAuditEventMicrosoftWindowsEvents |
Authentifizierungsparser
Um ASIM-Authentifizierungsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Windows-Anmeldungen
- Gesammelt mit Azure Monitor Agent oder log Analytics Agent (Legacy).
- Die Erfassung erfolgt entweder über die Connectors für sicherheitsrelevante Ereignisse in die SecurityEvent-Tabelle oder über den WEF-Connector in die WindowsEvent-Tabelle.
- Als sicherheitsrelevante Ereignisse gemeldet (4624, 4625, 4634 und 4647).
- von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
- Linux-Anmeldungen
- von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
- Aktivitäten
su
,sudo
undsshd
mithilfe von Syslog gemeldet. - die von Microsoft Defender an IoT Endpoint gemeldet werden.
- Microsoft Entra-Anmeldungen, die mithilfe des Microsoft Entra-Connectors gesammelt wurden. Für reguläre, nicht interaktive, verwaltete Identitäten- und Dienstprinzipalanmeldungen werden eigene Parser bereitgestellt.
- AWS-Anmeldungen, die mit dem AWS CloudTrail-Connector erfasst werden.
- Okta-Authentifizierung, die mit dem Okta-Connector erfasst wird.
- PostgreSQL-Anmeldeprotokolle.
DNS-Parser
ASIM DNS-Parser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
Quelle | Hinweise | Parser |
---|---|---|
Normalisierte DNS-Protokolle | Jedes Ereignis, das bei Erfassung in die ASimDnsActivityLogs -Tabelle normalisiert wird. Der DNS-Connector für den Azure Monitor-Agent verwendet die ASimDnsActivityLogs -Tabelle und wird vom _Im_Dns_Native -Parser unterstützt. |
_Im_Dns_Native |
Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - BIND - BlucCat |
Dieselben Parser unterstützen mehrere Quellen. | _Im_Dns_InfobloxNIOSVxx |
Microsoft DNS Server | Erfasst mit: – DNS-Connector für den Azure Monitor-Agent – NXlog – DNS-Connector für den Log Analytics-Agent (Legacy) |
_Im_Dns_MicrosoftOMSVxx Siehe „Normalisierte DNS-Protokolle“. _Im_Dns_MicrosoftNXlogVxx |
Sysmon für Windows (Event 22) | Erfasst mit: – Azure Monitor Agent - Der Log Analytics-Agent (Legacy) Für beide Agents wird die Sammlung in der Event - und WindowsEvent -Tabelle unterstützt. |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Dateiaktivitätsparser
Um ASIM-Dateiaktivitätsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel-GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Windows-Dateiaktivität
- Gemeldet von Windows (Ereignis 4663):
- In der SecurityEvent-Tabelle mit dem Azure Monitor-Agent basierend auf dem Connector für sicherheitsrelevante Ereignisse erfasst.
- In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
- Wird mithilfe des Log Analytics Agent-basierten Security Events-Connectors zur SecurityEvent-Tabelle (Legacy) gesammelt.
- Gemeldet mithilfe von Sysmon-Dateiaktivitätsereignissen (Ereignisse 11, 23 und 26):
- In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
- Gesammelt mithilfe des Log Analytics-Agents in der Ereignistabelle (Legacy).
- Gemeldet von Microsoft Defender XDR für Endpunkt, gesammelt mit dem Microsoft Defender XDR-Connector.
- Gemeldet von Windows (Ereignis 4663):
- Microsoft Office 365 SharePoint- und OneDrive-Ereignisse, die mithilfe des Office-Aktivitätsconnectors gesammelt wurden
- Azure Storage, einschließlich Blob, File, Queue und Table Storage
Netzwerksitzungsparser
ASIM-Netzwerksitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
Quelle | Hinweise | Parser |
---|---|---|
Normalisierte Netzwerksitzungsprotokolle | Jedes Ereignis, das bei Erfassung in die ASimNetworkSessionLogs -Tabelle normalisiert wird. Der Firewallconnector für den Azure Monitor-Agent verwendet die ASimNetworkSessionLogs -Tabelle und wird vom _Im_NetworkSession_Native -Parser unterstützt. |
_Im_NetworkSession_Native |
AppGate SDP | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. | _Im_NetworkSession_AppGateSDPVxx |
AWS VPC-Protokolle | Erfasst über den AWS S3-Connector. | _Im_NetworkSession_AWSVPCVxx |
Azure Firewall-Protokolle | _Im_NetworkSession_AzureFirewallVxx |
|
Azure Monitor VMConnection | Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. | _Im_NetworkSession_VMConnectionVxx |
Azure-NSG-Protokolle (Netzwerksicherheitsgruppen) | Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. | _Im_NetworkSession_AzureNSGVxx |
Checkpoint Firewall-1 | Erfasst über CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | Erfasst mit dem DNS-Connector. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Erfasst über den Cisco Meraki-API-Connector. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Erfasst über den Corelight Zeek-Connector. | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint-Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
Microsoft Defender XDR für Endpunkt | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Micro-Agent für Microsoft Defender for IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
Microsoft Defender for IoT-Sensor | _Im_NetworkSession_MD4IoTSensorVxx |
|
Palo Alto PanOS-Datenverkehrsprotokolle | Erfasst über CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon für Linux (Ereignis 3) | Gesammelt mit Azure Monitor Agent oder log Analytics Agent (Legacy). | _Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | Unterstützt den pack-Parameter. | _Im_NetworkSession_VectraIAVxx |
Windows-Firewallprotokolle | Gesammelt als Windows-Ereignisse mit Azure Monitor Agent (WindowsEvent-Tabelle) oder log Analytics Agent (Ereignistabelle) (Legacy). Unterstützt Windows -Ereignisse 5150 bis 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Watchguard FirewareOW | Erfasst über Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Zscaler ZIA-Firewallprotokolle | Erfasst über CEF. | _Im_NetworkSessionZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Prozessereignisparser
Um ASIM-Prozessereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Prozesserstellung für Sicherheitsereignisse (Ereignis 4688), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Beendigung von Sicherheitsereignissen (Ereignis 4689), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Sysmon-Prozesserstellung (Ereignis 1), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Sysmon-Prozessbeendigung (Ereignis 5), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Microsoft Defender XDR für die Erstellung von Endpunktprozessen
Registrierungsereignisparser
Um ASIM-Registrierungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Registrierungsupdate für Sicherheitsereignisse (Ereignisse 4657 und 4663), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Sysmon-Registrierungsüberwachungsereignisse (Ereignisse 12, 13 und 14), gesammelt mit Azure Monitor Agent oder Log Analytics Agent (Legacy)
- Microsoft Defender XDR für Endpunkt-Registrierungsereignisse
Websitzungsparser
ASIM-Websitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
Quelle | Hinweise | Parser |
---|---|---|
Normalisierte Websitzungsprotokolle | Jedes Ereignis, das bei Erfassung in die ASimWebSessionLogs -Tabelle normalisiert wird. |
_Im_WebSession_NativeVxx |
Protokolle für Internetinformationsdienste (IIS) | Gesammelt mithilfe von Azure Monitor Agent- oder Log Analytics-Agent (legacy)-basierten IIS-Connectors. | _Im_WebSession_IISVxx |
Palo Alto PanOS-Bedrohungsprotokolle | Erfasst über CEF. | _Im_WebSession_PaloAltoCEFVxx |
Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
Vectra AI Streams | Unterstützt den pack-Parameter. | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | Erfasst über CEF. | _Im_WebSessionZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Nächste Schritte
Weitere Informationen zu ASIM-Parsern finden Sie hier:
Weitere Informationen zu ASIM:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)