Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo documento fornisce un elenco di parser ASIM (Advanced Security Information Model). Per una panoramica dei parser ASIM, fare riferimento alla panoramica dei parser. Per informazioni sull'adattamento dei parser all'interno dell'architettura ASIM, vedere il diagramma dell'architettura ASIM.
I parser che non hanno un valore in Uses pack parameter non hanno la AdditionalFields colonna popolata.
Parser di eventi di avviso
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR eventi di avviso (nella AlertEvidence tabella ). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| Singolarità sentinelone | Eventi di minaccia SentinelOne Singularity (nella SentinelOne_CL tabella ). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Parser di eventi di controllo
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log eventi di controllo normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimAuditEventLogs tabella. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | Eventi di controllo di AWS CloudTrail. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Attività Azure | Azure eventi attività (nella AzureActivity tabella ) nella categoria Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault eventi di controllo. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Eventi Barracuda raccolti tramite CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Eventi WAF barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Eventi Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Eventi Cisco Meraki raccolti usando il connettore API o Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Eventi Cisco Meraki raccolti nella tabella Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | Eventi host CrowdStrike Falcon. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Eventi Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Eventi di Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Eventi Microsoft | Eventi di Controllo di Windows raccolti nella Event tabella |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Eventi amministrativi di Exchange raccolti tramite il connettore Office 365 (nella OfficeActivity tabella ). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Eventi di sicurezza Microsoft | Evento di Windows 1102 raccolto usando Azure'agente di monitoraggio (usando le SecurityEvent tabelle). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Eventi di Microsoft Windows | Evento di Windows 1102 raccolto usando Azure'agente di monitoraggio (usando le WindowsEvent tabelle). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Eventi SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Eventi di controllo XDR Vectra. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Eventi VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Parser di autenticazione
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log di autenticazione normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimAuthenticationEventLogs tabella. |
_Im_Authentication_Native |
|
| AWS CloudTrail | Accessi AWS raccolti con il connettore AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Eventi WAF barracuda. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Eventi Cisco ASA raccolti tramite CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Eventi Cisco ISE. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Eventi Cisco Meraki raccolti usando il connettore API o Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Eventi Cisco Meraki raccolti nella tabella Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | Eventi host CrowdStrike Falcon. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate system admin logs (Fortinet Fortigate system admin logs). | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Accessi a Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Eventi Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender per IoT | Microsoft Defender per gli eventi di autenticazione IoT. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR per gli accessi endpoint per Windows e Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID gli accessi raccolti usando il connettore Microsoft Entra per gli accessi regolari. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (non interative) | Microsoft Entra ID gli accessi, raccolti usando il connettore Microsoft Entra per gli accessi non interattivi. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (identità gestite) | Microsoft Entra ID gli accessi raccolti usando il connettore Microsoft Entra per gli accessi alle identità gestite. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (entità servizio) | Microsoft Entra ID gli accessi, raccolti usando il connettore Microsoft Entra per gli accessi dell'entità servizio. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Eventi di Microsoft Windows | Accessi di Windows (eventi 4624, 4625, 4634, 4647) raccolti usando Azure'agente di monitoraggio o l'agente di Log Analytics nelle SecurityEvent tabelle o WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Autenticazione di Okta, raccolta con il connettore Okta (V1 SSO). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Autenticazione di Okta, raccolta tramite il connettore Okta (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Autenticazione di Okta, raccolta tramite nella tabella OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Eventi di Palo Alto Cortex Data Lake. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | Log di accesso postgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Eventi di Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | Eventi SentinelOne. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux'attività sshd segnalata tramite Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux attività su segnalata tramite Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux'attività sudo segnalata tramite Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Eventi di controllo XDR Vectra. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Eventi VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Parser di eventi DHCP
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log eventi DHCP normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimDhcpEventLogs tabella. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Eventi DHCP Di Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
Parser DNS
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log DNS normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimDnsActivityLogs tabella. Il connettore DNS per l'agente di monitoraggio Azure usa la ASimDnsActivityLogs tabella . |
_Im_Dns_Native |
|
| Firewall di Azure | Firewall di Azure i log DNS. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Log DNS di Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Log DNS di Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS logs.Fortinet FortiGate DNS logs. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Log DNS di Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Eventi DNS Di Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Server NIOS, BIND e DNS BlueCat di Infoblox. Lo stesso parser supporta più origini. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Raccolta tramite il connettore DNS per l'agente di Log Analytics (legacy). | _Im_Dns_MicrosoftOMSVxx |
|
| Server DNS Microsoft (NXlog) | Server DNS Microsoft raccolto con NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon per Windows (evento) | Eventi DNS sysmon (evento 22) raccolti usando Azure'agente di monitoraggio o l'agente di Log Analytics (legacy) nella Event tabella. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon per Windows (WindowsEvent) | Eventi DNS sysmon (evento 22) raccolti usando Azure'agente di monitoraggio o l'agente di Log Analytics (legacy) nella WindowsEvent tabella. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | Eventi DNS SentinelOne. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Eventi DNS vectra per intelligenza artificiale. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Log DNS di Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Parser attività file
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log eventi dei file normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimFileEventLogs tabella. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | Eventi del file AWS CloudTrail. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Archiviazione BLOB di Azure | Archiviazione BLOB di Azure eventi di file. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Archiviazione file Azure | Azure eventi di Archiviazione file. | _Im_FileEvent_AzureFileStorageVxx |
|
| Archiviazione code Azure | Azure eventi di Archiviazione code. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Archiviazione tabelle Azure | Azure eventi di Archiviazione tabelle. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Eventi file di Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (eventi creati) | Sysmon per Linux eventi creati dal file (eventi 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (eventi eliminati) | Sysmon per Linux eventi di file eliminati (eventi 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR per gli eventi del file endpoint. | _Im_FileEvent_Microsoft365DVxx |
|
| Eventi di sicurezza Microsoft | Eventi file di Windows (evento 4663) raccolti tramite il connettore Eventi di sicurezza. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 eventi di SharePoint e OneDrive raccolti tramite il connettore attività di Office. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon per Windows (evento) | Eventi di file Sysmon per Windows (eventi 11, 23, 26) raccolti nella Event tabella. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon per Windows (WindowsEvent) | Eventi di file Sysmon per Windows (eventi 11, 23, 26) raccolti nella WindowsEvent tabella. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Eventi di Microsoft Windows | Eventi file di Windows (evento 4663) raccolti nella WindowsEvent tabella. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Eventi di file SentinelOne. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | Eventi di file VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Parser di sessione di rete
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log di sessione di rete normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimNetworkSessionLogs tabella. Il connettore firewall per l'agente di monitoraggio Azure usa questa tabella. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Log di connessione IP raccolti con Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| Log di AWS VPC | Raccolta tramite il connettore AWS S3. | _Im_NetworkSession_AWSVPCVxx |
|
| Firewall di Azure | Firewall di Azure log di rete. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure gruppo di sicurezza di rete | Azure log di flusso dei gruppi di sicurezza di rete. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Monitor VMConnection | Raccolta come parte della soluzione Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Eventi Barracuda raccolti tramite CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Eventi WAF barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Checkpoint Firewall | Eventi del firewall del checkpoint raccolti tramite CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Eventi Cisco ASA raccolti tramite CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Eventi Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Eventi Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Eventi Cisco Meraki raccolti usando il connettore API o Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Eventi Cisco Meraki raccolti nella tabella Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Eventi di rete Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | Eventi host CrowdStrike Falcon. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint Firewall | Eventi di ForcePoint Firewall. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate firewall events collected using Syslog ( Fortinet FortiGate firewall events collected using Syslog). | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Eventi Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender per IoT (agente) | Microsoft Defender per gli eventi del micro-agente IoT. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender per IoT (sensore) | Microsoft Defender per gli eventi del micro sensore IoT. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR per gli eventi di rete endpoint. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon per Linux | Sysmon per Linux eventi di rete (evento 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon per Windows (evento) | Eventi di rete Sysmon per Windows (evento 3) raccolti nella Event tabella. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon per Windows (WindowsEvent) | Eventi di rete Sysmon per Windows (evento 3) raccolti nella WindowsEvent tabella. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Firewall | Eventi di Windows Firewall (eventi 5150-5159) raccolti tramite Azure'agente di monitoraggio o l'agente di Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Microsoft Sicurezza di Windows Events Firewall | Eventi di Windows Firewall raccolti tramite il connettore Eventi di sicurezza. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Eventi di Analisi del traffico di rete. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Log del traffico Di Palo Alto PanOS raccolti con CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Eventi di Palo Alto Cortex Data Lake. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | Eventi di rete SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | Eventi di SonicWall Firewall. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Eventi di rete vectra per intelligenza artificiale. Supporta il parametro pack. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | Eventi di rete VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | Eventi del sistema operativo WatchGuard Fireware raccolti con Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Log del firewall Zscaler ZIA raccolti con CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Parser di eventi di elaborazione
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log eventi del processo normalizzato | Qualsiasi evento normalizzato durante l'inserimento nella ASimProcessEventLogs tabella. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Crea) | Sysmon per Linux eventi di creazione del processo (eventi 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Terminate) | Sysmon per Linux eventi di terminazione del processo (eventi 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender per IoT | Microsoft Defender per gli eventi di processo IoT. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR per gli eventi di processo dell'endpoint. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Eventi di sicurezza Microsoft (creazione) | Sicurezza di Windows Eventi elaborano eventi di creazione (eventi 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Eventi di sicurezza Microsoft (terminate) | Sicurezza di Windows Eventi elaborano gli eventi di terminazione (eventi 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon per Windows (creazione) | Sysmon per gli eventi di processo di Windows (evento 1) raccolti nelle Event tabelle. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon per Windows (Termina) | Sysmon per gli eventi di processo di Windows (evento 5) raccolti nelle Event tabelle. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Eventi di Microsoft Windows (creazione) | Eventi di processo di Windows (evento 4688) raccolti nella WindowsEvent tabella. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Eventi di Microsoft Windows (terminate) | Eventi di processo di Windows (evento 4689) raccolti nella WindowsEvent tabella. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne elabora gli eventi. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Eventi di processo Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Crea) | Eventi di creazione del processo VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Terminate) | VMware Carbon Black Cloud elabora gli eventi di terminazione. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Parser di eventi del Registro di sistema
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log eventi normalizzati del Registro di sistema | Qualsiasi evento normalizzato durante l'inserimento nella ASimRegistryEventLogs tabella. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR per gli eventi del Registro di sistema endpoint. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Eventi di sicurezza Microsoft | eventi del Registro di sistema eventi Sicurezza di Windows (eventi 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon per Windows | Eventi del Registro di sistema di Sysmon per Windows (eventi 12, 13, 14) raccolti nelle Event tabelle o WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Eventi di Microsoft Windows | Eventi del Registro di sistema di Windows raccolti nella WindowsEvent tabella. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | Eventi del Registro di sistema SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Eventi del Registro di sistema Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | Eventi del Registro di sistema VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Parser di gestione utenti
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log di gestione utenti normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimUserManagementLogs tabella. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | Eventi di gestione utenti di AWS CloudTrail. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Eventi di gestione degli utenti di Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux authpriv eventi di gestione degli utenti. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Eventi di sicurezza Microsoft | eventi di gestione degli utenti di eventi Sicurezza di Windows. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Eventi di Microsoft Windows | Eventi di gestione utenti di Windows raccolti nella WindowsEvent tabella. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | Eventi di gestione utente sentinelOne. | _Im_UserManagement_SentinelOneVxx |
false |
Parser di sessione Web
| Source | Note | Parser | Usa il parametro pack |
|---|---|---|---|
| Log delle sessioni Web normalizzate | Qualsiasi evento normalizzato durante l'inserimento nella ASimWebSessionLogs tabella. |
_Im_WebSession_Native |
|
| Apache HTTP Server | Log del server HTTP Apache. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Firewall di Azure | Firewall di Azure log delle sessioni Web. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Eventi Barracuda raccolti tramite CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Eventi WAF barracuda. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Eventi Web Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Eventi Web Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Eventi Web Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | Eventi Web F5 ASM. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Log delle sessioni Web fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | Log IIS raccolti tramite Azure'agente di monitoraggio o l'agente di Log Analytics. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Log delle minacce di Palo Alto PanOS raccolti con CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Eventi di Palo Alto Cortex Data Lake. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | Eventi Web di SonicWall Firewall. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Proxy calamari | Log Web di Squid Proxy. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Eventi Web vectra per intelligenza artificiale. Supporta il parametro pack. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Log Web Zscaler ZIA raccolti con CEF. | _Im_WebSession_ZscalerZIAVxx |
Passaggi successivi
Altre informazioni sui parser ASIM:
Altre informazioni su ASIM:
- Guardare il webinar deep dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e del contenuto normalizzato) o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Schemi ASIM (Advanced Security Information Model)
- Contenuto ASIM (Advanced Security Information Model)