Microsoft Sentinel ASIM(고급 보안 정보 모델) 파서 목록(공개 미리 보기)
이 문서는 ASIM(고급 보안 정보 모델) 파서 목록을 제공합니다. ASIM 파서에 대한 개요는 파서 개요를 참조하세요. 파서를 ASIM 아키텍처에 맞추는 방법을 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.
Important
ASIM은 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
감사 이벤트 파서
ASIM 감사 이벤트 파서를 사용하려면 Microsoft Sentinel GitHub 리포지토리에서 파서를 배포합니다. Microsoft Sentinel은 GitHub에서 배포된 패키지에 다음 파서를 제공합니다.
| Source | 참고 | 파서 |
|---|---|---|
| Azure 활동 관리 이벤트 | 범주Administrative의 AzureActivity Azure 활동 이벤트(테이블 내)입니다. |
ASimAuditEventAzureActivity |
| Exchange 365 관리 이벤트 | Exchange 관리표에 있는 Office 365 커넥터 OfficeActivity 를 사용하여 수집된 기존 이벤트입니다. |
ASimAuditEventMicrosoftOffice365 |
| Windows 로그 지우기 이벤트 | Log Analytics 에이전트 보안 이벤트 커넥터 또는 Azure Monitor 에이전트 보안 이벤트 및 WEF 커넥터(테이블 사용Event)를 사용하여 SecurityEventWindowsEvent수집된 Windows 이벤트 1102입니다. |
ASimAuditEventMicrosoftWindowsEvents |
인증 파서
ASIM 인증 파서를 사용하려면 Microsoft Sentinel GitHub 리포지토리에서 파서를 배포합니다. Microsoft Sentinel은 GitHub에서 배포된 패키지에 다음 파서를 제공합니다.
- Windows 로그인
- Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집합니다.
- SecurityEvent 테이블에 대한 보안 이벤트 커넥터를 사용하거나 WindowsEvent 테이블에 대한 WEF 커넥터를 사용하여 수집됩니다.
- 보안 이벤트(4624, 4625, 4634 및 4647)로 보고되었습니다.
- Microsoft Defender XDR 커넥터를 사용하여 수집된 엔드포인트용 Microsoft Defender XDR에서 보고합니다.
- Linux 로그인
- Microsoft Defender XDR 커넥터를 사용하여 수집된 엔드포인트용 Microsoft Defender XDR에서 보고합니다.
su,sudu및sshdSyslog를 사용하여 보고된 활동입니다.- Microsoft Defender에서 IoT Endpoint에 보고했습니다.
- Microsoft Entra 커넥터를 사용하여 수집된 Microsoft Entra 로그인 일반 비대화형 관리 ID 및 서비스 원칙 로그인에 대해 별도의 파서가 제공됩니다.
- AWS CloudTrail 커넥터를 사용하여 수집된 AWS 로그인
- Okta 커넥터를 사용하여 수집된 Okta 인증입니다.
- PostgreSQL 로그인 로그.
DNS 파서
ASIM DNS 파서는 모든 작업 영역에서 사용할 수 있습니다. Microsoft Sentinel은 다음과 같은 기본 파서를 제공합니다.
| Source | 참고 | 파서 |
|---|---|---|
| 정규화된 DNS 로그 | ASimDnsActivityLogs 테이블에 수집할 때 정규화된 모든 이벤트입니다. Azure Monitor 에이전트용 DNS 커넥터는 ASimDnsActivityLogs 테이블을 사용하며 _Im_Dns_Native 파서에서 지원됩니다. |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
동일한 파서에서 여러 원본을 지원합니다. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | 다음을 사용하여 수집됩니다: - Log Analytics 에이전트용 DNS 커넥터 - Azure Monitor 에이전트용 DNS 커넥터 - NXlog |
_Im_Dns_MicrosoftOMSVxx정규화된 DNS 로그를 참조하세요. _Im_Dns_MicrosoftNXlogVxx |
| Windows용 Sysmon(이벤트 22) | 다음을 사용하여 수집됩니다: - Log Analytics 에이전트 - Azure Monitor 에이전트 두 에이전트 모두 다음에 수집합니다. Event 및 WindowsEvent 테이블이 지원됩니다. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Microsoft Sentinel GitHub 리포지토리에서 배포된 작업 영역 파서 버전을 배포합니다.
파일 작업 파서
ASIM 파일 작업 파서를 사용하려면 Microsoft Sentinel GitHub 리포지토리에서 파서를 배포합니다. Microsoft Sentinel은 GitHub에서 배포된 패키지에 다음 파서를 제공합니다.
- Windows 파일 작업
- Windows에서 보고됨 (이벤트 4663):
- SecurityEvent 테이블에 대한 Log Analytics 에이전트 기반 보안 이벤트 커넥터를 사용하여 수집됩니다.
- SecurityEvent 테이블에 대한 Azure Monitor 에이전트 기반 보안 이벤트 커넥터를 사용하여 수집됩니다.
- Azure Monitor 에이전트 기반 WEF(Windows 이벤트 전달) 커넥터를 사용하여 WindowsEvent 테이블에 수집합니다.
- Sysmon 파일 활동 이벤트(이벤트 11, 23 및 26)를 사용하여 보고됨:
- Log Analytics 에이전트를 사용하여 이벤트 테이블에 수집합니다.
- Azure Monitor 에이전트 기반 WEF(Windows 이벤트 전달) 커넥터를 사용하여 WindowsEvent 테이블에 수집합니다.
- 엔드포인트용 Microsoft Defender XDR에 의해 보고되며, Microsoft Defender XDR 커넥터를 사용하여 수집됩니다.
- Windows에서 보고됨 (이벤트 4663):
- Office 활동 커넥터를 사용하여 수집된 Microsoft Office 365 SharePoint 및 OneDrive 이벤트입니다.
- Blob, 파일, 큐 및 Table Storage를 포함한 Azure Storage.
네트워크 세션 파서
ASIM 네트워크 세션 파서는 모든 작업 영역에서 사용할 수 있습니다. Microsoft Sentinel은 다음과 같은 기본 파서를 제공합니다.
| Source | 참고 | 파서 |
|---|---|---|
| 정규화된 네트워크 세션 로그 | ASimNetworkSessionLogs 테이블에 수집할 때 정규화된 모든 이벤트입니다. Azure Monitor 에이전트용 방화벽 커넥터는 ASimNetworkSessionLogs 테이블을 사용하며 _Im_NetworkSession_Native 파서에서 지원됩니다. |
_Im_NetworkSession_Native |
| AppGate SDP | IP 연결 로그가 Syslog를 사용하여 수집됩니다. | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC 로그 | AWS S3 커넥터를 사용하여 수집됩니다. | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall 로그 | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Azure Monitor VM 인사이트 솔루션의 일부로 수집됩니다. | _Im_NetworkSession_VMConnectionVxx |
| Azure NSG(네트워크 보안 그룹) 로그 | Azure Monitor VM 인사이트 솔루션의 일부로 수집됩니다. | _Im_NetworkSession_AzureNSGVxx |
| 검사점 방화벽-1 | CEF를 사용하여 수집합니다. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | CEF 커넥터를 사용하여 수집합니다. | _Im_NetworkSession_CiscoASAVxx |
| 시스코 메라키 | Cisco Meraki API 커넥터를 사용하여 수집됩니다. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Corelight Zeek 커넥터를 사용하여 수집합니다. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | IP 연결 로그가 Syslog를 사용하여 수집됩니다. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint 방화벽 | _Im_NetworkSession_ForcePointFirewallVxx |
|
| 엔드포인트용 Microsoft Defender XDR | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT 마이크로 에이전트 | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT 센서 | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Palo Alto PanOS 트래픽 로그 | CEF를 사용하여 수집합니다. | _Im_NetworkSession_PaloAltoCEFVxx |
| Linux용 Sysmon(이벤트 3) | Log Analytics 에이전트를 사용하여 수집 Azure Monitor 에이전트를 사용하여 수집됩니다. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | pack 매개 변수를 지원합니다. | _Im_NetworkSession_VectraIAVxx |
| Windows 방화벽 로그 | Log Analytics 에이전트(이벤트 테이블) 또는 Azure Monitor 에이전트(WindowsEvent 테이블)를 사용하여 Windows 이벤트로 수집됩니다. Windows 이벤트 5150 ~ 5159를 지원합니다. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Syslog를 사용하여 수집합니다. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA 방화벽 로그 | CEF를 사용하여 수집합니다. | _Im_NetworkSessionZscalerZIAVxx |
Microsoft Sentinel GitHub 리포지토리에서 배포된 작업 영역 파서 버전을 배포합니다.
프로세스 이벤트 파서
ASIM 프로세스 이벤트 파서를 사용하려면 Microsoft Sentinel GitHub 리포지토리에서 파서를 배포합니다. Microsoft Sentinel은 GitHub에서 배포된 패키지에 다음 파서를 제공합니다.
- 보안 이벤트 프로세스 생성(이벤트 4688), Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집
- Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집된 보안 이벤트 프로세스 종료(이벤트 4689)
- Sysmon 프로세스 생성(이벤트 1), Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집
- Sysmon 프로세스 종료(이벤트 5), Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집
- 엔드포인트 프로세스 생성을 위한 Microsoft Defender XDR
레지스트리 이벤트 파서
ASIM 레지스트리 이벤트 파서를 사용하려면 Microsoft Sentinel GitHub 리포지토리에서 파서를 배포합니다. Microsoft Sentinel은 GitHub에서 배포된 패키지에 다음 파서를 제공합니다.
- Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집된 보안 이벤트 레지스트리 업데이트(이벤트 4657 및 4663)
- Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 수집된 Sysmon 레지스트리 모니터링 이벤트(이벤트 12, 13 및 14)
- 엔드포인트 레지스트리 이벤트에 대한 Microsoft Defender XDR
웹 세션 파서
ASIM 웹 세션 파서는 모든 작업 영역에서 사용할 수 있습니다. Microsoft Sentinel은 다음과 같은 기본 파서를 제공합니다.
| Source | 참고 | 파서 |
|---|---|---|
| 정규화된 웹 세션 로그 | ASimWebSessionLogs 테이블에 수집할 때 정규화된 모든 이벤트입니다. |
_Im_WebSession_NativeVxx |
| IIS(인터넷 정보 서비스) 로그 | AMA 또는 Log Analytics 에이전트 기반 IIS 커넥터를 사용하여 수집됩니다. | _Im_WebSession_IISVxx |
| Palo Alto PanOS 위협 로그 | CEF를 사용하여 수집합니다. | _Im_WebSession_PaloAltoCEFVxx |
| 오징어 프록시 | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI 스트림 | pack 매개 변수를 지원합니다. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | CEF를 사용하여 수집합니다. | _Im_WebSessionZscalerZIAVxx |
Microsoft Sentinel GitHub 리포지토리에서 배포된 작업 영역 파서 버전을 배포합니다.
다음 단계
ASIM 파서에 대해 자세히 알아보기:
ASIM에 대해 자세히 알아보세요.