Liste der ASIM-Parser (Advanced Security Information Model) für Microsoft Sentinel (öffentliche Vorschau)
Dieses Dokument enthält eine Liste der ASIM-Parser (Advanced Security Information Model). Eine Übersicht über ASIM-Parser finden Sie in der Übersicht über Parser. Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Wichtig
ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Überwachungsereignisparser
Um ASIM-Überwachungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
| Quelle | Hinweise | Parser |
|---|---|---|
| Administrative Azure-Aktivitätsereignisse | Azure-Aktivitätsereignisse (in der AzureActivity-Tabelle) in der Kategorie Administrative. |
ASimAuditEventAzureActivity |
| Administrative Exchange 365-Ereignisse | Administrative Exchange-Ereignisse, die mithilfe des Office 365-Connectors (in der OfficeActivity-Tabelle) erfasst werden. |
ASimAuditEventMicrosoftOffice365 |
| Windows-Protokolllöschereignisse | Windows-Ereignis 1102, das mithilfe des Security Events-Connectors von Log Analytics-Agents oder des Security Events- und WEF-Connectors von Azure Monitor-Agents (anhand der Tabellen SecurityEvent, WindowsEvent oder Event) gesammelt wurde. |
ASimAuditEventMicrosoftWindowsEvents |
Authentifizierungsparser
Um ASIM-Authentifizierungsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Windows-Anmeldungen
- Die Erfassung erfolgt über den Log Analytics-Agent oder Azure Monitor-Agent.
- Die Erfassung erfolgt entweder über die Connectors für sicherheitsrelevante Ereignisse in die SecurityEvent-Tabelle oder über den WEF-Connector in die WindowsEvent-Tabelle.
- Als sicherheitsrelevante Ereignisse gemeldet (4624, 4625, 4634 und 4647).
- von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
- Linux-Anmeldungen
- von Microsoft Defender XDR für Endpunkt gemeldet, gesammelt mit dem Microsoft Defender XDR-Connector.
- Aktivitäten
su,suduundsshdmithilfe von Syslog gemeldet. - die von Microsoft Defender an IoT Endpoint gemeldet werden.
- Microsoft Entra-Anmeldungen, die mithilfe des Microsoft Entra-Connectors gesammelt wurden. Für reguläre, nicht interaktive, verwaltete Identitäten- und Dienstprinzipalanmeldungen werden eigene Parser bereitgestellt.
- AWS-Anmeldungen, die mit dem AWS CloudTrail-Connector erfasst werden.
- Okta-Authentifizierung, die mit dem Okta-Connector erfasst wird.
- PostgreSQL-Anmeldeprotokolle.
DNS-Parser
ASIM DNS-Parser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
| Quelle | Hinweise | Parser |
|---|---|---|
| Normalisierte DNS-Protokolle | Jedes Ereignis, das bei Erfassung in die ASimDnsActivityLogs-Tabelle normalisiert wird. Der DNS-Connector für den Azure Monitor-Agent verwendet die ASimDnsActivityLogs-Tabelle und wird vom _Im_Dns_Native-Parser unterstützt. |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
Dieselben Parser unterstützen mehrere Quellen. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | Erfasst mit: – DNS-Connector für den Log Analytics-Agent – DNS-Connector für den Azure Monitor-Agent – NXlog |
_Im_Dns_MicrosoftOMSVxxSiehe „Normalisierte DNS-Protokolle“. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon für Windows (Event 22) | Erfasst mit: – Log Analytics-Agent – Azure Monitor-Agent Für beide Agents wird die Sammlung in der Event- und WindowsEvent-Tabelle unterstützt. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Dateiaktivitätsparser
Um ASIM-Dateiaktivitätsparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel-GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Windows-Dateiaktivität
- Gemeldet von Windows (Ereignis 4663):
- In der SecurityEvent-Tabelle mit dem Log Analytics-Agent basierend auf dem Connector für sicherheitsrelevante Ereignisse erfasst.
- In der SecurityEvent-Tabelle mit dem Azure Monitor-Agent basierend auf dem Connector für sicherheitsrelevante Ereignisse erfasst.
- In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
- Gemeldet mithilfe von Sysmon-Dateiaktivitätsereignissen (Ereignisse 11, 23 und 26):
- Mit dem Log Analytics-Agent in der Ereignistabelle erfasst.
- In der WindowsEvent-Tabelle mit dem Azure Monitor-Agent-basierten WEF-Connector (Windows-Ereignisweiterleitung) erfasst.
- Gemeldet von Microsoft Defender XDR für Endpunkt, gesammelt mit dem Microsoft Defender XDR-Connector.
- Gemeldet von Windows (Ereignis 4663):
- Microsoft Office 365 SharePoint- und OneDrive-Ereignisse, die mithilfe des Office-Aktivitätsconnectors gesammelt wurden
- Azure Storage, einschließlich Blob, File, Queue und Table Storage
Netzwerksitzungsparser
ASIM-Netzwerksitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
| Quelle | Hinweise | Parser |
|---|---|---|
| Normalisierte Netzwerksitzungsprotokolle | Jedes Ereignis, das bei Erfassung in die ASimNetworkSessionLogs-Tabelle normalisiert wird. Der Firewallconnector für den Azure Monitor-Agent verwendet die ASimNetworkSessionLogs-Tabelle und wird vom _Im_NetworkSession_Native-Parser unterstützt. |
_Im_NetworkSession_Native |
| AppGate SDP | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC-Protokolle | Erfasst über den AWS S3-Connector. | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall-Protokolle | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. | _Im_NetworkSession_VMConnectionVxx |
| Azure-NSG-Protokolle (Netzwerksicherheitsgruppen) | Erfasst im Rahmen der Azure Monitor-VM-Insights-Lösung. | _Im_NetworkSession_AzureNSGVxx |
| Checkpoint Firewall-1 | Erfasst über CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Erfasst mit dem DNS-Connector. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Erfasst über den Cisco Meraki-API-Connector. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Erfasst über den Corelight Zeek-Connector. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | IP-Verbindungsprotokolle, die mithilfe von Syslog erfasst wurden. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint-Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR für Endpunkt | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Micro-Agent für Microsoft Defender for IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT-Sensor | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Palo Alto PanOS-Datenverkehrsprotokolle | Erfasst über CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon für Linux (Ereignis 3) | Gesammelt mit dem Log Analytics-Agent oder dem Azure Monitor-Agent. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Unterstützt den pack-Parameter. | _Im_NetworkSession_VectraIAVxx |
| Windows-Firewallprotokolle | Gesammelt als Windows-Ereignisse mithilfe des Log Analytics-Agents (Ereignistabelle) oder des Azure Monitor-Agents (WindowsEvent-Tabelle). Unterstützt Windows -Ereignisse 5150 bis 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Erfasst über Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA-Firewallprotokolle | Erfasst über CEF. | _Im_NetworkSessionZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Prozessereignisparser
Um ASIM-Prozessereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Erstellung des Prozesses für sicherheitsrelevante Ereignisse (Ereignis 4688) , erfasst mit dem Log Analytics-Agent oder mit Azure Monitor
- Beendigung des Prozesses für sicherheitsrelevante Ereignisse (Ereignis 4689) , erfasst mit dem Log Analytics-Agent oder mit Azure Monitor
- Sysmon-Prozesserstellung (Ereignis 1) , erfasst mit dem Log Analytics-Agent oder mit Azure Monitor
- Sysmon-Prozessbeendigung (Ereignis 5) , erfasst mit dem Log Analytics-Agent oder mit Azure Monitor
- Microsoft Defender XDR für die Erstellung von Endpunktprozessen
Registrierungsereignisparser
Um ASIM-Registrierungsereignisparser zu verwenden, stellen Sie die Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Microsoft Sentinel stellt die folgenden Parser in den Paketen bereit, die in GitHub verfügbar sind:
- Registrierungsupdate für sicherheitsrelevante Ereignisse (Ereignisse 4657 und 4663), erfasst mit dem Log Analytics-Agent oder mit dem Azure Monitor-Agent
- Sysmon-Registrierungsüberwachungsereignisse (Ereignisse 12, 13 und 14) , die mit dem Log Analytics-Agent oder dem Azure Monitor-Agent erfasst wurden
- Microsoft Defender XDR für Endpunkt-Registrierungsereignisse
Websitzungsparser
ASIM-Websitzungsparser sind in jedem Arbeitsbereich verfügbar. Microsoft Sentinel stellt die folgenden vorkonfigurierten Parser zur Verfügung:
| Quelle | Hinweise | Parser |
|---|---|---|
| Normalisierte Websitzungsprotokolle | Jedes Ereignis, das bei Erfassung in die ASimWebSessionLogs-Tabelle normalisiert wird. |
_Im_WebSession_NativeVxx |
| Protokolle für Internetinformationsdienste (IIS) | Gesammelt mithilfe der auf AMA oder Log Analytics-Agent basierenden IIS-Konnektoren. | _Im_WebSession_IISVxx |
| Palo Alto PanOS-Bedrohungsprotokolle | Erfasst über CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI Streams | Unterstützt den pack-Parameter. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Erfasst über CEF. | _Im_WebSessionZscalerZIAVxx |
Stellen Sie die im Arbeitsbereich bereitgestellte Parserversion aus dem Microsoft Sentinel-GitHub-Repository bereit.
Nächste Schritte
Weitere Informationen zu ASIM-Parsern finden Sie hier:
Weitere Informationen zu ASIM:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)