Daftar parser Model Informasi Keamanan Tingkat Lanjut (ASIM) Microsoft Azure Sentinel (Pratinjau publik)
Dokumen ini menyediakan daftar parser Model Informasi Keamanan Tingkat Lanjut (ASIM). Untuk gambaran umum parser ASIM, lihat gambaran umum parser. Untuk memahami bagaimana parser cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.
Penting
ASIM saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser peristiwa audit
Untuk menggunakan pengurai peristiwa audit ASIM, sebarkan pengurai dari repositori GitHub Microsoft Sentinel. Microsoft Sentinel menyediakan pengurai berikut dalam paket yang disebarkan dari GitHub:
| Sumber | Catatan | Parser |
|---|---|---|
| Peristiwa administratif Aktivitas Azure | Peristiwa Aktivitas Azure (dalam AzureActivity tabel) dalam kategori Administrative. |
ASimAuditEventAzureActivity |
| Peristiwa administratif Exchange 365 | Peristiwa Administratif Exchange yang dikumpulkan menggunakan konektor Office 365 (dalam OfficeActivity tabel). |
ASimAuditEventMicrosoftOffice365 |
| Kejadian hapus Log Windows | Windows Event 1102 dikumpulkan menggunakan konektor Peristiwa Keamanan agen Analitik Log atau agen pemantauan Azure Peristiwa Keamanan dan konektor WEF (menggunakan SecurityEventtabel , , WindowsEventatau Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Autentikasi Parser
Untuk menggunakan pengurai autentikasi ASIM, sebarkan parser dari repositori GitHub Microsoft Sentinel. Microsoft Sentinel menyediakan pengurai berikut dalam paket yang disebarkan dari GitHub:
- Kredensial masuk Windows
- Dikumpulkan menggunakan Agen Analitik Log atau Agen Azure Monitor.
- Dikumpulkan menggunakan konektor Peristiwa Keamanan ke tabel SecurityEvent atau menggunakan konektor WEF ke tabel WindowsEvent.
- Dilaporkan sebagai Peristiwa Keamanan (4624, 4625, 4634, dan 4647).
- dilaporkan oleh Pertahanan Microsoft XDR untuk Titik Akhir, dikumpulkan menggunakan konektor Microsoft Defender XDR.
- Masuk Linux
- dilaporkan oleh Pertahanan Microsoft XDR untuk Titik Akhir, dikumpulkan menggunakan konektor Microsoft Defender XDR.
su,sudu, dansshdaktivitas yang dilaporkan menggunakan Syslog.- dilaporkan oleh Microsoft Defender ke Titik Akhir IoT.
- Rincian masuk Microsoft Entra, dikumpulkan menggunakan konektor Microsoft Entra. Pengurai terpisah disediakan untuk Rincian Masuk Identitas Terkelola dan Perwakilan Layanan Non-Interaktif yang bersifat reguler.
- Rincian Masuk AWS, dikumpulkan menggunakan konektor AWS CloudTrail.
- Autentikasi Okta, dikumpulkan menggunakan konektor Okta.
- Log masuk PostgreSQL.
Parser DNS
Pengurai DNS ASIM tersedia di setiap ruang kerja. Microsoft Azure Sentinel menyediakan pengurai out-of-the-box berikut:
| Sumber | Catatan | Parser |
|---|---|---|
| Log DNS yang Dinormalisasi | Peristiwa apa pun yang dinormalisasi saat penyerapan ke tabel ASimDnsActivityLogs. Konektor DNS untuk Agen Azure Monitor menggunakan ASimDnsActivityLogs tabel dan didukung oleh pengurai _Im_Dns_Native . |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| DNS GCP | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
Pengurai yang sama mendukung beberapa sumber. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | Dikumpulkan menggunakan: - Konektor DNS untuk Agen Analitik Log - Konektor DNS untuk Agen Azure Monitor - NXlog |
_Im_Dns_MicrosoftOMSVxxLihat Log DNS yang dinormalisasi. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon untuk Windows (peristiwa 22) | Dikumpulkan menggunakan: - Agen Analitik Log - Agen Azure Monitor Untuk kedua agen, keduanya mengumpulkan Event tabel dan WindowsEvent didukung. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Sebarkan versi pengurai yang disebarkan ruang kerja dari repositori GitHub Microsoft Sentinel.
Parser Aktivitas File
Untuk menggunakan pengurai Aktivitas File ASIM, sebarkan pengurai dari repositori GitHub Microsoft Sentinel. Microsoft Sentinel menyediakan pengurai berikut dalam paket yang disebarkan dari GitHub:
- Aktivitas file Windows
- Dilaporkan oleh Windows (peristiwa 4663):
- Dikumpulkan menggunakan konektor Peristiwa Keamanan berbasis Agen Analitik Log ke tabel SecurityEvent.
- Dikumpulkan menggunakan konektor Peristiwa Keamanan berbasis Agen Azure Monitor ke tabel SecurityEvent.
- Dikumpulkan menggunakan konektor WEF (Penerusan Peristiwa Windows) berbasis Agen Azure Monitor ke tabel WindowsEvent.
- Dilaporkan menggunakan peristiwa aktivitas file Sysmon (Peristiwa 11, 23, dan 26):
- Dikumpulkan menggunakan Agen Analitik Log ke tabel Peristiwa.
- Dikumpulkan menggunakan konektor WEF (Penerusan Peristiwa Windows) berbasis Agen Azure Monitor ke tabel WindowsEvent.
- Dilaporkan oleh Pertahanan Microsoft XDR untuk Titik Akhir, dikumpulkan menggunakan konektor Microsoft Defender XDR.
- Dilaporkan oleh Windows (peristiwa 4663):
- Peristiwa Microsoft Office 365 SharePoint dan OneDrive, yang dikumpulkan menggunakan konektor Aktivitas Office.
- Azure Storage, meliputi Blob, File, Antrean, dan Table Storage.
Parser Sesi Jaringan
Pengurai Sesi Jaringan ASIM tersedia di setiap ruang kerja. Microsoft Azure Sentinel menyediakan pengurai out-of-the-box berikut:
| Sumber | Catatan | Parser |
|---|---|---|
| Log Sesi Jaringan yang Dinormalisasi | Peristiwa apa pun yang dinormalisasi saat penyerapan ke tabel ASimNetworkSessionLogs. Konektor Firewall untuk Agen Azure Monitor menggunakan ASimNetworkSessionLogs tabel dan didukung oleh pengurai _Im_NetworkSession_Native . |
_Im_NetworkSession_Native |
| AppGate SDP | Log koneksi IP yang dikumpulkan menggunakan Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Log AWS VPC | Dikumpulkan menggunakan konektor AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Log Azure Firewall | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Dikumpulkan sebagai bagian dari solusi Insights VM Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Log Azure Network Security Groups (NSG) | Dikumpulkan sebagai bagian dari solusi Insights VM Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
| Firewall Titik Pemeriksaan-1 | Dikumpulkan menggunakan CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Dikumpulkan menggunakan konektor CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Dikumpulkan menggunakan konektor Cisco Meraki API. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Dikumpulkan menggunakan konektor Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Log koneksi IP yang dikumpulkan menggunakan Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Pertahanan Microsoft XDR untuk Titik Akhir | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender untuk agen mikro IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Sensor Pertahanan Microsoft untuk IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Log lalu lintas Palo Alto PanOS | Dikumpulkan menggunakan CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon untuk Linux (kejadian 3) | Dikumpulkan oleh Agen Analisis Log atau Azure Monitor Agent. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Mendukung parameter paket. | _Im_NetworkSession_VectraIAVxx |
| Log Firewall Windows | Dikumpulkan sebagai peristiwa Windows menggunakan Agen Analitik Log (Tabel peristiwa) atau Agen Azure Monitor (Tabel WindowsEvent). Mendukung acara Windows 5150 hingga 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Dikumpulkan menggunakan Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Log firewall Zscaler ZIA | Dikumpulkan menggunakan CEF. | _Im_NetworkSessionZscalerZIAVxx |
Sebarkan versi pengurai yang disebarkan ruang kerja dari repositori GitHub Microsoft Sentinel.
Parser Peristiwa Proses
Untuk menggunakan pengurai Peristiwa Proses ASIM, sebarkan parser dari repositori GitHub Microsoft Sentinel. Microsoft Sentinel menyediakan pengurai berikut dalam paket yang disebarkan dari GitHub:
- Pembuatan proses Kejadian Keamanan (Kejadian 4688), dikumpulkan menggunakan Agen Analitik Log atau Agen Azure Monitor
- Penghentian proses Kejadian Keamanan (Kejadian 4689), dikumpulkan menggunakan Agen Analitik Log atau Agen Azure Monitor
- Pembuatan proses Sysmon (Kejadian 1), dikumpulkan menggunakan Agen Analitik Log atau Agen Azure Monitor
- Penghentian proses Sysmon (Kejadian 5), dikumpulkan menggunakan Agen Analitik Log atau Agen Azure Monitor
- Pembuatan proses Microsoft Defender XDR for Endpoint
Parser Peristiwa Registri
Untuk menggunakan pengurai Peristiwa Registri ASIM, sebarkan pengurai dari repositori GitHub Microsoft Sentinel. Microsoft Sentinel menyediakan pengurai berikut dalam paket yang disebarkan dari GitHub:
- Pembaruan registri Peristiwa Keamanan (Peristiwa 4657 dan 4663), dikumpulkan menggunakan Agen Analitik Log atau Agen Azure Monitor
- Peristiwa pemantauan registri Sysmon (Peristiwa 12, 13, dan 14), dikumpulkan menggunakan Agen Log Analytics atau Agen Azure Monitor
- Peristiwa registri Pertahanan Microsoft XDR untuk Titik Akhir
Parser Sesi Web
Pengurai Sesi Web ASIM tersedia di setiap ruang kerja. Microsoft Azure Sentinel menyediakan pengurai out-of-the-box berikut:
| Sumber | Catatan | Parser |
|---|---|---|
| Log Sesi Web yang Dinormalisasi | Peristiwa apa pun yang dinormalisasi saat penyerapan ke tabel ASimWebSessionLogs. |
_Im_WebSession_NativeVxx |
| Log Layanan Informasi Internet (IIS) | Dikumpulkan menggunakan konektor IIS berbasis Agen Analitik Log atau AMA. | _Im_WebSession_IISVxx |
| Log ancaman Palo Alto PanOS | Dikumpulkan menggunakan CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Aliran Vectra AI | Mendukung parameter paket. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Dikumpulkan menggunakan CEF. | _Im_WebSessionZscalerZIAVxx |
Sebarkan versi pengurai yang disebarkan ruang kerja dari repositori GitHub Microsoft Sentinel.
Langkah berikutnya
Pelajari selengkapnya tentang parser ASIM:
Pelajari lebih lanjut tentang ASIM: