Condividi tramite


Elenco dei parser di Microsoft Sentinel Advanced Security Information Model (ASIM) (anteprima pubblica)

Questo documento fornisce un elenco di parser ASIM (Advanced Security Information Model). Per una panoramica dei parser ASIM, vedere la panoramica dei parser. Per comprendere in che modo i parser rientrano nell'architettura ASIM, vedere il diagramma dell'architettura di ASIM.

Importante

ASIM è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Controllare i parser di eventi

Per usare i parser di eventi di controllo ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:

Origine Note Parser
Eventi amministrativi attività di Azure Eventi dell'attività AzureActivity di Azure (nella tabella) nella categoria Administrative. ASimAuditEventAzureActivity
Eventi amministrativi di Exchange 365 Eventi di Exchange Amministrazione istrative raccolti tramite il connettore di Office 365 (nella OfficeActivity tabella). ASimAuditEventMicrosoftOffice365
Evento di cancellazione log di Windows Evento di Windows 1102 raccolto tramite il connettore Eventi di sicurezza dell'agente di Log Analytics o i connettori eventi di sicurezza dell'agente di Monitoraggio di Azure e WEF (usando le SecurityEventtabelle , WindowsEvento Event ). ASimAuditEventMicrosoftWindowsEvents

Parser di autenticazione

Per usare i parser di autenticazione ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:

  • Accessi di Windows
    • Raccolto tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure.
    • Raccolto usando i connettori eventi di sicurezza per la tabella SecurityEvent o il connettore WEF alla tabella WindowsEvent.
    • Segnalato come eventi di sicurezza (4624, 4625, 4634 e 4647).
    • segnalato da Microsoft Defender XDR per endpoint, raccolto tramite il connettore Microsoft Defender XDR.
  • Accessi in Linux
    • segnalato da Microsoft Defender XDR per endpoint, raccolto tramite il connettore Microsoft Defender XDR.
    • suAttività , sudue sshd segnalate tramite Syslog.
    • segnalato da Microsoft Defender all'endpoint IoT.
  • Accessi a Microsoft Entra, raccolti tramite il connettore Microsoft Entra. I parser separati vengono forniti per gli accessi regolari, non interattivi, identità gestite e principi del servizio.
  • Accessi AWS, raccolti usando il connettore AWS CloudTrail.
  • Autenticazione okta, raccolta tramite il connettore Okta.
  • Log di accesso di PostgreSQL .

Parser DNS

I parser DNS ASIM sono disponibili in ogni area di lavoro. Microsoft Sentinel offre i parser predefiniti seguenti:

Origine Note Parser
Log DNS normalizzati Qualsiasi evento normalizzato durante l'inserimento nella ASimDnsActivityLogs tabella. Il connettore DNS per l'agente di Monitoraggio di Azure usa la ASimDnsActivityLogs tabella ed è supportato dal _Im_Dns_Native parser. _Im_Dns_Native
Firewall di Azure _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- ASSOCIARE
- BlucCat
Gli stessi parser supportano più origini. _Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server Raccolto con:
- Connettore DNS per l'agente di Log Analytics
- Connettore DNS per l'agente di Monitoraggio di Azure
- NXlog

_Im_Dns_MicrosoftOMSVxx
Vedere Log DNS normalizzati.
_Im_Dns_MicrosoftNXlogVxx
Sysmon per Windows (evento 22) Raccolto con:
- Agente di Log Analytics
- Agente di Monitoraggio di Azure

Per entrambi gli agenti, sia la raccolta nell'oggetto
Event Le tabelle e WindowsEvent sono supportate.
_Im_Dns_MicrosoftSysmonVxx
Intelligenza artificiale Vectra _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Distribuire la versione dei parser distribuiti nell'area di lavoro dal repository GitHub di Microsoft Sentinel.

Parser attività file

Per usare i parser di attività file ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:

  • Attività file di Windows
    • Segnalato da Windows (evento 4663):
      • Raccolto usando il connettore Eventi di sicurezza basati su Agente di Log Analytics alla tabella SecurityEvent.
      • Raccolto usando il connettore Eventi di sicurezza basati su Agente di Monitoraggio di Azure alla tabella SecurityEvent.
      • Raccolto usando il connettore WEF (Windows Event Forwarding) basato sull'agente di Monitoraggio di Azure alla tabella WindowsEvent.
    • Segnalato tramite eventi di attività file Sysmon (eventi 11, 23 e 26):
      • Raccolta tramite l'agente di Log Analytics nella tabella Eventi.
      • Raccolto usando il connettore WEF (Windows Event Forwarding) basato sull'agente di Monitoraggio di Azure alla tabella WindowsEvent.
    • Segnalato da Microsoft Defender XDR per endpoint, raccolto tramite il connettore Microsoft Defender XDR.
  • Eventi di Microsoft Office 365 SharePoint e OneDrive raccolti tramite il connettore attività di Office.
  • Archiviazione di Azure, inclusi BLOB, file, coda e Archiviazione tabella.

Parser di sessione di rete

I parser di sessione di rete ASIM sono disponibili in ogni area di lavoro. Microsoft Sentinel offre i parser predefiniti seguenti:

Origine Note Parser
Log di sessione di rete normalizzati Qualsiasi evento normalizzato durante l'inserimento nella ASimNetworkSessionLogs tabella. Il connettore Firewall per l'agente di Monitoraggio di Azure usa la ASimNetworkSessionLogs tabella ed è supportato dal _Im_NetworkSession_Native parser. _Im_NetworkSession_Native
AppGate SDP Log di connessione IP raccolti tramite Syslog. _Im_NetworkSession_AppGateSDPVxx
Log di AWS VPC Raccolto tramite il connettore AWS S3. _Im_NetworkSession_AWSVPCVxx
log di Firewall di Azure _Im_NetworkSession_AzureFirewallVxx
Macchina virtuale di Monitoraggio di Azure Connessione ion Raccolto come parte della soluzione Informazioni dettagliate macchina virtuale di Monitoraggio di Azure. _Im_NetworkSession_VMConnectionVxx
Log dei gruppi di sicurezza di rete di Azure Raccolto come parte della soluzione Informazioni dettagliate macchina virtuale di Monitoraggio di Azure. _Im_NetworkSession_AzureNSGVxx
Firewall del checkpoint- 1 Raccolto con CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA Raccolto tramite il connettore CEF. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Raccolto tramite il connettore API Cisco Meraki. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Raccolto con il connettore Corelight Zeek. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS Log di connessione IP raccolti tramite Syslog. _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint Firewall _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR per endpoint _Im_NetworkSession_Microsoft365DefenderVxx
Micro agent di Microsoft Defender per IoT _Im_NetworkSession_MD4IoTAgentVxx
Sensore Microsoft Defender per IoT _Im_NetworkSession_MD4IoTSensorVxx
Log del traffico di Palo Alto PanOS Raccolto con CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon per Linux (evento 3) Raccolta tramite l'agente di Log Analytics
o l'agente di Monitoraggio di Azure.
_Im_NetworkSession_LinuxSysmonVxx
Intelligenza artificiale Vectra Supporta il parametro pack . _Im_NetworkSession_VectraIAVxx
Log di Windows Firewall Raccolto come eventi di Windows tramite l'agente di Log Analytics (tabella eventi) o l'agente di Monitoraggio di Azure (tabella WindowsEvent). Supporta gli eventi di Windows da 5150 a 5159. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW Raccolto con Syslog. _Im_NetworkSession_WatchGuardFirewareOSVxx
Log del firewall di Zscaler ZIA Raccolto con CEF. _Im_NetworkSessionZscalerZIAVxx

Distribuire la versione dei parser distribuiti nell'area di lavoro dal repository GitHub di Microsoft Sentinel.

Elabora parser di eventi

Per usare i parser di eventi del processo ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:

  • Creazione del processo degli eventi di sicurezza (evento 4688) raccolti usando l'agente di Log Analytics o l'agente di Monitoraggio di Azure
  • Terminazione del processo degli eventi di sicurezza (evento 4689) raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
  • Creazione del processo Sysmon (evento 1) raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
  • Terminazione del processo Sysmon (evento 5) raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
  • Creazione del processo di Microsoft Defender XDR per endpoint

Parser di eventi del Registro di sistema

Per usare i parser di eventi del Registro ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:

  • Aggiornamento del Registro di sistema degli eventi di sicurezza (eventi 4657 e 4663), raccolti tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
  • Eventi di monitoraggio del Registro di sistema Sysmon (eventi 12, 13 e 14) raccolti tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
  • Eventi del Registro di sistema di Microsoft Defender XDR per endpoint

Parser di sessione Web

I parser di sessione Web ASIM sono disponibili in ogni area di lavoro. Microsoft Sentinel offre i parser predefiniti seguenti:

Origine Note Parser
Log di sessione Web normalizzati Qualsiasi evento normalizzato durante l'inserimento nella ASimWebSessionLogs tabella. _Im_WebSession_NativeVxx
Log di Internet Information Services (IIS) Raccolto usando i connettori IIS basati su AMA o Log Analytics Agent. _Im_WebSession_IISVxx
Log delle minacce di Palo Alto PanOS Raccolto con CEF. _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
Flussi di intelligenza artificiale Vectra Supporta il parametro pack . _Im_WebSession_VectraAIVxx
Zscaler ZIA Raccolto con CEF. _Im_WebSessionZscalerZIAVxx

Distribuire la versione dei parser distribuiti nell'area di lavoro dal repository GitHub di Microsoft Sentinel.

Passaggi successivi

Altre informazioni sui parser ASIM:

Altre informazioni su ASIM: