Microsoft Sentinel Advanced Security Information Model (ASIM) パーサーの一覧 (パブリック プレビュー)
このドキュメントでは、高度なセキュリティ情報モデル (ASIM) パーサーの一覧について説明します。 ASIM パーサーの概要については、パーサーの概要を参照してください。 パーサーが ASIM アーキテクチャにどのように組み込まれているかを理解するには、ASIM アーキテクチャの図を参照してください。
重要
現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
監査イベント パーサー
ASIM 監査イベント パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。
| ソース | 注 | パーサー |
|---|---|---|
| Azure アクティビティ管理イベント | カテゴリ Administrative 内の Azure アクティビティ イベント (AzureActivity テーブル内)。 |
ASimAuditEventAzureActivity |
| Exchange 365 管理イベント | Office 365 コネクタを使用して収集された Exchange 管理イベント (OfficeActivity テーブル内)。 |
ASimAuditEventMicrosoftOffice365 |
| Windows ログの消去イベント | Log Analytics エージェントのセキュリティ イベント コネクタまたは Azure Monitor エージェントのセキュリティ イベントと WEF コネクタ (SecurityEvent、WindowsEvent、Event のいずれかのテーブルを使用) を使用して収集された Windows イベント 1102。 |
ASimAuditEventMicrosoftWindowsEvents |
認証パーサー
ASIM 認証パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。
- Windows サインイン
- Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます。
- セキュリティ イベント コネクタを使用して SecurityEvent テーブルに収集されるか、WEF コネクタを使用して WindowsEvent テーブルに収集されます。
- セキュリティイベント (4624、4625、4634、および 4647) として報告されます。
- Microsoft Defender XDR for Endpoint によって報告され、Microsoft Defender XDR コネクタを使用して収集されます。
- Linux サインイン
- Microsoft Defender XDR for Endpoint によって報告され、Microsoft Defender XDR コネクタを使用して収集されます。
- Syslog を使用して報告された
su、sudu、およびsshdアクティビティ。 - Microsoft Defender によって IoT エンドポイントに報告されました。
- Microsoft Entra サインイン。Microsoft Entra コネクタを使用して収集されます。 標準、非対話型、マネージド ID、サービス プリンシパルの各サインインには、個別のパーサーが用意されています。
- AWS サインイン。AWS CloudTrail コネクタを使用して収集されます。
- Okta 認証。Okta コネクタを使用して収集されます。
- PostgreSQL サインイン ログ。
DNS パーサー
ASIM DNS パーサーは、すべてのワークスペースで使用できます。 Microsoft Sentinel には、次のようなすぐに使えるパーサーが用意されています。
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された DNS ログ | ASimDnsActivityLogs テーブルへの取り込み時に正規化されたすべてのイベント。 Azure Monitor エージェントの DNS コネクタは、ASimDnsActivityLogs テーブルを使用し、_Im_Dns_Native パーサーによってサポートされています。 |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
同じパーサーで複数のソースがサポートされます。 | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS サーバー | 次を使用して収集されます - Log Analytics エージェントの DNS コネクタ - Azure Monitor エージェントの DNS コネクタ - NXlog |
_Im_Dns_MicrosoftOMSVxx「正規化された DNS ログ」を参照してください。 _Im_Dns_MicrosoftNXlogVxx |
| Windows の Sysmon (イベント 22) | 次を使用して収集されます - Log Analytics エージェント - Azure Monitor エージェント 両方のエージェントについて、 Event テーブルと WindowsEvent テーブルへの収集がサポートされています。 |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Microsoft Sentinel GitHub リポジトリからワークスペースにデプロイされたパーサーのバージョンをデプロイします。
ファイル アクティビティ パーサー
ASIM ファイル アクティビティ パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。
- Windows ファイル アクティビティ
- Windows (イベント 4663) によって報告される:
- Log Analytics エージェント ベースのセキュリティ イベント コネクタを使用して SecurityEvent テーブルに収集されます。
- Azure Monitor エージェント ベースのセキュリティ イベント コネクタを使用して SecurityEvent テーブルに収集されます。
- Azure Monitor エージェント ベースの WEF (Windows イベント転送) コネクタを使用して WindowsEvent テーブルに収集されます。
- Sysmon ファイル アクティビティ イベント (イベント 11、23、および 26) を使用して報告される:
- Log Analytics エージェントを使用して Event テーブルに収集されます。
- Azure Monitor エージェント ベースの WEF (Windows イベント転送) コネクタを使用して WindowsEvent テーブルに収集されます。
- Microsoft Defender XDR コネクタを使用して収集された Microsoft Defender XDR for Endpoint によって報告されます。
- Windows (イベント 4663) によって報告される:
- Microsoft Office 365 SharePoint と OneDrive のイベント。Office アクティビティ コネクタを使用して収集されます。
- Azure Storage (Blob、File、Queue、Table Storage を含む)。
ネットワーク セッション パーサー
ASIM ネットワーク セッション パーサーは、すべてのワークスペースで使用できます。 Microsoft Sentinel には、次のようなすぐに使えるパーサーが用意されています。
| ソース | 注 | パーサー |
|---|---|---|
| 正規化されたネットワーク セッション ログ | ASimNetworkSessionLogs テーブルへの取り込み時に正規化されたすべてのイベント。 Azure Monitor エージェントのファイアウォール コネクタは、ASimNetworkSessionLogs テーブルを使用し、_Im_NetworkSession_Native パーサーによってサポートされています。 |
_Im_NetworkSession_Native |
| AppGate SDP | Syslog を使用して収集された IP 接続ログ。 | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC ログ | AWS S3 コネクタを使用して収集されます。 | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall ログ | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Azure Monitor VM Insights ソリューションの一部として収集されます。 | _Im_NetworkSession_VMConnectionVxx |
| Azure ネットワーク セキュリティ グループ (NSG) ログ | Azure Monitor VM Insights ソリューションの一部として収集されます。 | _Im_NetworkSession_AzureNSGVxx |
| Checkpoint Firewall-1 | CEF を使用して収集されます。 | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | CEF コネクタを使用して収集されます。 | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Cisco Meraki API コネクタを使用して収集されます。 | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Corelight Zeek コネクタを使用して収集されます。 | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Syslog を使用して収集された IP 接続ログ。 | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint ファイアウォール | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR for Endpoint | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT マイクロ エージェント | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT センサー | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Palo Alto PanOS トラフィック ログ | CEF を使用して収集されます。 | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon for Linux (イベント 3) | Log Analytics エージェント または Azure Monitor エージェントを使用して収集されます。 |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | pack パラメーターをサポートします。 | _Im_NetworkSession_VectraIAVxx |
| Windows ファイアウォール ログ | Log Analytics エージェント (Event テーブル) または Azure Monitor エージェント (WindowsEvent テーブル) を使用して Windows イベントとして収集されます。 Windows イベント 5150 ~ 5159 をサポートします。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Syslog を使用して収集されます。 | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA ファイアウォール ログ | CEF を使用して収集されます。 | _Im_NetworkSessionZscalerZIAVxx |
Microsoft Sentinel GitHub リポジトリからワークスペースにデプロイされたパーサーのバージョンをデプロイします。
プロセス イベント パーサー
ASIM プロセス イベント パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。
- セキュリティ イベント プロセスの作成 (イベント 4688) 。Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます
- セキュリティ イベント プロセスの終了 (イベント 4689) 。Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます
- Sysmon プロセスの作成 (イベント 1) 。Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます
- Sysmon プロセスの終了 (イベント 5) 。Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます
- Microsoft Defender XDR for Endpoint プロセスの作成
レジストリ イベント パーサー
ASIM レジストリ イベント パーサーを使用するには、Microsoft Sentinel GitHub リポジトリからパーサーをデプロイします。 Microsoft Sentinel では、次のパーサーが提供されており、GitHub からデプロイされたパッケージに含まれています。
- セキュリティ イベント レジストリの更新 (イベント 4657 および 4663)。Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます
- Sysmon レジストリ監視イベント (イベント 12、13、および 14) 。Log Analytics エージェントまたは Azure Monitor エージェントを使用して収集されます
- Microsoft Defender XDR for Endpoint レジストリ イベント
Web セッション パーサー
ASIM Web セッション パーサーは、すべてのワークスペースで使用できます。 Microsoft Sentinel には、次のようなすぐに使えるパーサーが用意されています。
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された Web セッション ログ | ASimWebSessionLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_WebSession_NativeVxx |
| インターネット インフォメーション サービス (IIS) のログ | AMA または Log Analytics エージェント ベースの IIS コネクタを使用して収集されます。 | _Im_WebSession_IISVxx |
| Palo Alto PanOS 脅威ログ | CEF を使用して収集されます。 | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI Streams | pack パラメーターをサポートします。 | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | CEF を使用して収集されます。 | _Im_WebSessionZscalerZIAVxx |
Microsoft Sentinel GitHub リポジトリからワークスペースにデプロイされたパーサーのバージョンをデプロイします。
次のステップ
ASIM パーサーの詳細については、次を参照してください。
ASIM の詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) コンテンツ