Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Ce document fournit la liste des analyseurs ASIM (Advanced Security Information Model). Pour obtenir une vue d’ensemble des analyseurs ASIM, reportez-vous à la vue d’ensemble des analyseurs. Pour comprendre le fonctionnement des analyseurs dans l’architecture ASIM, consultez le Diagramme d’architecture ASIM.
Analyseurs d’événements d’alerte
| Source | Remarques | Parser |
|---|---|---|
| Microsoft Defender XDR | Événements d’alerte XDR Microsoft Defender (dans le AlertEvidence tableau). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
| Singularité SentinelOne | Événements de menace SentinelOne Singularity (dans la SentinelOne_CL table). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Auditer les analyseurs d’événements
| Source | Remarques | Parser |
|---|---|---|
| Journaux des événements d’audit normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimAuditEventLogs. |
_Im_AuditEvent_Native |
| Activité Azure | Événements d’activité Azure (dans la table AzureActivity) dans la catégorie Administrative. |
_Im_AuditEvent_AzureActivityVxx |
| Barracuda CEF | Événements Barracuda collectés à l’aide de CEF. | _Im_AuditEvent_BarracudaCEFVxx |
| Barracuda WAF | Événements WAF Barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
| Cisco ISE | Événements Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
| Cisco Meraki | Événements Cisco Meraki collectés à l’aide du connecteur d’API ou syslog. | _Im_AuditEvent_CiscoMerakiVxx |
| CrowdStrike Falcon | Événements CrowdStrike Falcon Host. | _Im_AuditEvent_CrowdStrikeFalconVxx |
| Illumio SaaS Core | Événements Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
| Infoblox BloxOne | Événements Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
| Microsoft Exchange 365 | Événements d’administration Exchange collectés en utilisant le connecteur Office 365 (dans la table OfficeActivity). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
| Événements Microsoft Windows | Événement Windows 1102 collecté à l’aide de l’agent Azure Monitor (à l’aide des tables ou WindowsEvent des SecurityEvent tables). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Événements SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
| Vectra XDR | Événements d’audit Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
| Cloud noir de carbone VMware | Événements VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
Analyseurs d’authentification
| Source | Remarques | Parser |
|---|---|---|
| Journaux d’authentification normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimAuthenticationEventLogs. |
_Im_Authentication_Native |
| AWS CloudTrail | Connexions AWS, collectées à l’aide du connecteur AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
| Barracuda WAF | Événements WAF Barracuda. | _Im_Authentication_BarracudaWAFVxx |
| Cisco ASA | Événements Cisco ASA collectés à l’aide de CEF. | _Im_Authentication_CiscoASAVxx |
| Cisco ISE | Événements Cisco ISE. | _Im_Authentication_CiscoISEVxx |
| Cisco Meraki | Événements Cisco Meraki collectés à l’aide du connecteur d’API ou syslog. | _Im_Authentication_CiscoMerakiVxx |
| CrowdStrike Falcon | Événements CrowdStrike Falcon Host. | _Im_Authentication_CrowdStrikeFalconVxx |
| Passer de Google Workspace | Connexions à Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
| Illumio SaaS Core | Événements Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
| Microsoft Defender XDR | Connexions Microsoft Defender XDR pour point de terminaison pour Windows et Linux. | _Im_Authentication_M365DefenderVxx |
| Microsoft Entra ID | Connexions d’ID Microsoft Entra, collectées à l’aide du connecteur Microsoft Entra. Séparez les analyseurs pour les connexions standard, non interactives, identités managées et principal de service. | _Im_Authentication_AADSigninLogsVxx_Im_Authentication_AADNonInteractiveVxx_Im_Authentication_AADManagedIdentityVxx_Im_Authentication_AADServicePrincipalSignInLogsVxx |
| Événements Microsoft Windows | Connexions Windows (événements 4624, 4625, 4634, 4647) collectées à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics sur les SecurityEvent tables ou WindowsEvent les tables. |
_Im_Authentication_MicrosoftWindowsEventVxx |
| Okta | Authentification Okta, collectée à l’aide du connecteur Okta (V1 OSS et V2). | _Im_Authentication_OktaOSSVxx_Im_Authentication_OktaV2Vxx |
| Palo Alto Cortex Data Lake | Événements Palo Alto Cortex Data Lake. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
| PostgreSQL | Journaux de connexion PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
| Salesforce Service Cloud | Événements Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
| SentinelOne | Événements SentinelOne. | _Im_Authentication_SentinelOneVxx |
| Linux Sshd | Activité sshd Linux signalée à l’aide de Syslog. | _Im_Authentication_SshdVxx |
| Linux Su | Activité su Linux signalée à l’aide de Syslog. | _Im_Authentication_SuVxx |
| Linux Sudo | Activité sudo Linux signalée à l’aide de Syslog. | _Im_Authentication_SudoVxx |
| Vectra XDR | Événements d’audit Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
| Cloud noir de carbone VMware | Événements VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analyseurs d’événements DHCP
| Source | Remarques | Parser |
|---|---|---|
| Journaux des événements DHCP normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimDhcpEventLogs. |
_Im_DhcpEvent_Native |
| Infoblox BloxOne | Événements DHCP Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
Analyseurs DNS
| Source | Remarques | Parser |
|---|---|---|
| Journaux DNS normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimDnsActivityLogs. Le connecteur DNS de l’agent Azure Monitor utilise la ASimDnsActivityLogs table. |
_Im_Dns_Native |
| Pare-feu Azure | Journaux DNS du Pare-feu Azure. | _Im_Dns_AzureFirewallVxx |
| Cisco Umbrella | Journaux DNS Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
| Corelight Zeek | Journaux DNS Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
| Fortinet FortiGate | Journaux DNS Fortinet FortiGate. | _Im_Dns_FortinetFortigateVxx |
| DNS GCP | Journaux DNS Google Cloud Platform. | _Im_Dns_GcpVxx |
| Infoblox BloxOne | Événements DNS Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
| Infoblox NIOS | Serveurs NIOS, BIND et BlueCat DNS Infoblox. Le même analyseur prend en charge plusieurs sources. | _Im_Dns_InfobloxNIOSVxx |
| Serveur DNS Microsoft | Collecté à l’aide du connecteur DNS pour l’agent Log Analytics (hérité). | _Im_Dns_MicrosoftOMSVxx |
| Microsoft DNS Server (NXlog) | Serveur DNS Microsoft collecté à l’aide de NXlog. | _Im_Dns_MicrosoftNXlogVxx |
| Microsoft Sysmon pour Windows | Événements DNS Sysmon (événement 22) collectés à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics (hérité) sur les tables ou WindowsEvent les Event tables. |
_Im_Dns_MicrosoftSysmonVxx |
| SentinelOne | Événements DNS SentinelOne. | _Im_Dns_SentinelOneVxx |
| IA Vectra | Événements DNS Vectra AI. | _Im_Dns_VectraAIVxx |
| Zscaler ZIA | Journaux DNS Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analyseurs d’activité de fichier
| Source | Remarques | Parser |
|---|---|---|
| Journaux d’événements de fichiers normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimFileEventLogs. |
_Im_FileEvent_Native |
| Stockage Blob Azure | Événements de fichier Stockage Blob Azure. | _Im_FileEvent_AzureBlobStorageVxx |
| Stockage Fichier Azure | Événements stockage de fichiers Azure. | _Im_FileEvent_AzureFileStorageVxx |
| Stockage de files d'attente Azure | Événements Stockage File d’attente Azure. | _Im_FileEvent_AzureQueueStorageVxx |
| Stockage de tables Azure | Événements Stockage Table Azure. | _Im_FileEvent_AzureTableStorageVxx |
| Passer de Google Workspace | Événements de fichier Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
| Linux Sysmon | Sysmon pour le fichier Linux créé et supprimé (événements 11, 23). | _Im_FileEvent_LinuxSysmonFileCreatedVxx_Im_FileEvent_LinuxSysmonFileDeletedVxx |
| Microsoft Defender XDR | Événements de fichier microsoft Defender XDR pour point de terminaison. | _Im_FileEvent_Microsoft365DVxx |
| Événements de sécurité Microsoft | Événements de fichier Windows (événement 4663) collectés à l’aide du connecteur Événements de sécurité. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
| Microsoft SharePoint | Événements Microsoft Office 365 SharePoint et OneDrive collectés à l’aide du connecteur d’activité Office. | _Im_FileEvent_MicrosoftSharePointVxx |
| Microsoft Sysmon pour Windows | Sysmon pour les événements de fichier Windows (événements 11, 23, 26) collectés dans les tables ou WindowsEvent les Event tables. |
_Im_FileEvent_MicrosoftSysmonVxx |
| Événements Microsoft Windows | Événements de fichier Windows (événement 4663) collectés dans la WindowsEvent table. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Événements de fichier SentinelOne. | _Im_FileEvent_SentinelOneVxx |
| Cloud noir de carbone VMware | Événements de fichier VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
Analyseurs de session réseau
| Source | Remarques | Parser |
|---|---|---|
| Journaux de session réseau normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimNetworkSessionLogs. Le connecteur de pare-feu de l’agent Azure Monitor utilise cette table. |
_Im_NetworkSession_Native |
| AppGate SDP | Journaux de connexion IP collectés à l’aide de Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Journaux AWS VPC | Collecté à l’aide du connecteur AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Pare-feu Azure | Journaux réseau du Pare-feu Azure. | _Im_NetworkSession_AzureFirewallVxx |
| Groupe de sécurité réseau Azure | Journaux de flux des groupes de sécurité réseau Azure. | _Im_NetworkSession_AzureNSGVxx |
| Azure Monitor VMConnection | Collecté dans le cadre de la solution Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
| Barracuda CEF | Événements Barracuda collectés à l’aide de CEF. | _Im_NetworkSession_BarracudaCEFVxx |
| Barracuda WAF | Événements WAF Barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
| Pare-feu de point de contrôle | Événements de pare-feu de point de contrôle collectés à l’aide de CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Événements Cisco ASA collectés à l’aide de CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Firepower | Événements Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
| Cisco ISE | Événements Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
| Cisco Meraki | Événements Cisco Meraki collectés à l’aide du connecteur d’API ou syslog. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Événements réseau Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
| CrowdStrike Falcon | Événements CrowdStrike Falcon Host. | _Im_NetworkSession_CrowdStrikeFalconVxx |
| Pare-feu ForcePoint | Événements de pare-feu ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
| Fortinet FortiGate | Événements de pare-feu Fortinet FortiGate collectés à l’aide de Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Illumio SaaS Core | Événements Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
| Microsoft Defender pour IoT | Événements de micro-agent et de capteur Microsoft Defender pour IoT. | _Im_NetworkSession_MD4IoTAgentVxx_Im_NetworkSession_MD4IoTSensorVxx |
| Microsoft Defender XDR | Événements réseau Microsoft Defender XDR pour point de terminaison. | _Im_NetworkSession_Microsoft365DefenderVxx |
| Microsoft Sysmon pour Linux | Sysmon pour les événements réseau Linux (événement 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
| Microsoft Sysmon pour Windows | Sysmon pour les événements réseau Windows (événement 3) collectés sur les tables ou WindowsEvent les Event tables. |
_Im_NetworkSession_MicrosoftSysmonVxx |
| Pare-feu Microsoft Windows | Événements de pare-feu Windows (événements 5150-5159) collectés à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Pare-feu des événements de sécurité Microsoft Windows | Événements de pare-feu Windows collectés via le connecteur Événements de sécurité. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
| NTA NetAnalytics | Événements Traffic Analytics réseau. | _Im_NetworkSession_NTANetAnalyticsVxx |
| Palo Alto PanOS | Journaux de trafic Palo Alto PanOS collectés à l’aide de CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Événements Palo Alto Cortex Data Lake. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
| SentinelOne | Événements réseau SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
| Pare-feu SonicWall | Événements sonicWall Firewall. | _Im_NetworkSession_SonicWallFirewallVxx |
| IA Vectra | Événements réseau Vectra AI. Prend en charge le paramètre pack. | _Im_NetworkSession_VectraAIVxx |
| Cloud noir de carbone VMware | Événements réseau VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
| Système d’exploitation WatchGuard Fireware | Événements du système d’exploitation WatchGuard Fireware collectés à l’aide de Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA | Journaux de pare-feu Zscaler ZIA collectés à l’aide de CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analyseurs d’événements de processus
| Source | Remarques | Parser |
|---|---|---|
| Journaux des événements de processus normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimProcessEventLogs. |
_Im_ProcessEvent_Native |
| Linux Sysmon | Événements de création de processus Sysmon pour Linux (événement 1). | _Im_ProcessCreate_LinuxSysmonVxx |
| Microsoft Defender pour IoT | Événements de processus Microsoft Defender pour IoT. | _Im_ProcessEvent_MD4IoTVxx |
| Microsoft Defender XDR | Événements de processus microsoft Defender XDR pour point de terminaison. | _Im_ProcessEvent_Microsoft365DVxx |
| Événements de sécurité Microsoft | Création et arrêt des événements de sécurité Windows (événements 4688, 4689). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx_Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
| Microsoft Sysmon pour Windows | Sysmon pour les événements de processus Windows (événements 1, 5) collectés sur les tables ou WindowsEvent les Event tables. |
_Im_ProcessCreate_MicrosoftSysmonVxx_Im_ProcessTerminate_MicrosoftSysmonVxx |
| Événements Microsoft Windows | Événements de processus Windows collectés dans la WindowsEvent table. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
| SentinelOne | Événements de processus SentinelOne. | _Im_ProcessCreate_SentinelOneVxx |
| Trend Micro Vision One | Événements de processus Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
| Cloud noir de carbone VMware | Événements de processus VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx_Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
Analyseurs d’événements de Registre
| Source | Remarques | Parser |
|---|---|---|
| Journaux des événements de Registre normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimRegistryEventLogs. |
_Im_RegistryEvent_Native |
| Microsoft Defender XDR | Événements de Registre de points de terminaison Microsoft Defender XDR. | _Im_RegistryEvent_Microsoft365DVxx |
| Événements de sécurité Microsoft | Événements du Registre des événements de sécurité Windows (événements 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
| Microsoft Sysmon pour Windows | Sysmon pour les événements de Registre Windows (événements 12, 13, 14) collectés dans les tables ou WindowsEvent les Event tables. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
| Événements Microsoft Windows | Événements de Registre Windows collectés dans la WindowsEvent table. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
| SentinelOne | Événements de Registre SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
| Trend Micro Vision One | Événements de Registre Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
| Cloud noir de carbone VMware | Événements de Registre VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
Analyseurs de gestion des utilisateurs
| Source | Remarques | Parser |
|---|---|---|
| Journaux de gestion des utilisateurs normalisés | Tout événement normalisé lors de l’ingestion dans la table ASimUserManagementLogs. |
_Im_UserManagement_Native |
| Cisco ISE | Événements de gestion des utilisateurs Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
| Linux Authpriv | Événements de gestion des utilisateurs Linux authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
| Événements de sécurité Microsoft | Événements de gestion des utilisateurs des événements de sécurité Windows. | _Im_UserManagement_MicrosoftSecurityEventVxx |
| Événements Microsoft Windows | Événements de gestion des utilisateurs Windows collectés dans la WindowsEvent table. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
| SentinelOne | Événements de gestion des utilisateurs SentinelOne. | _Im_UserManagement_SentinelOneVxx |
Analyseurs de session web
| Source | Remarques | Parser |
|---|---|---|
| Journaux de session Web normalisée | Tout événement normalisé lors de l’ingestion dans la table ASimWebSessionLogs. |
_Im_WebSession_Native |
| Serveur HTTP Apache | Journaux d’activité apache HTTP Server. | _Im_WebSession_ApacheHTTPServerVxx |
| Pare-feu Azure | Journaux de session web du Pare-feu Azure. | _Im_WebSession_AzureFirewallVxx |
| Barracuda CEF | Événements Barracuda collectés à l’aide de CEF. | _Im_WebSession_BarracudaCEFVxx |
| Barracuda WAF | Événements WAF Barracuda. | _Im_WebSession_BarracudaWAFVxx |
| Cisco Firepower | Événements web Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
| Cisco Meraki | Événements web Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
| Citrix NetScaler | Événements web Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
| F5 ASM | Événements web F5 ASM. | _Im_WebSession_F5ASMVxx |
| Fortinet FortiGate | Journaux de session web Fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
| internet Information Services (IIS) | Journaux IIS collectés à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics. | _Im_WebSession_IISVxx |
| Palo Alto PanOS | Journaux des menaces Palo Alto PanOS collectés à l’aide de CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Événements Palo Alto Cortex Data Lake. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
| Pare-feu SonicWall | Événements web sonicWall Firewall. | _Im_WebSession_SonicWallFirewallVxx |
| Proxy d’quid | Journaux web du proxy squid. | _Im_WebSession_SquidProxyVxx |
| IA Vectra | Événements web Vectra AI. Prend en charge le paramètre pack. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Journaux web Zscaler ZIA collectés à l’aide de CEF. | _Im_WebSession_ZscalerZIAVxx |
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
En savoir plus sur ASIM :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Schémas de l’Advanced SIEM Information Model (ASIM)
- Contenu de l’Advanced SIEM Information Model (ASIM)