Lijst met ASIM-parsers (Microsoft Sentinel Advanced Security Information Model) (openbare preview)
Dit document bevat een lijst met ASIM-parsers (Advanced Security Information Model). Raadpleeg het overzicht van ASIM-parsers voor een overzicht van ASIM-parsers. Als u wilt weten hoe parsers binnen de ASIM-architectuur passen, raadpleegt u het ASIM-architectuurdiagram.
Belangrijk
ASIM is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Parsers voor auditgebeurtenissen
Als u ASIM-controlegebeurtenisparsers wilt gebruiken, implementeert u de parsers uit de GitHub-opslagplaats van Microsoft Sentinel. Microsoft Sentinel biedt de volgende parsers in de pakketten die zijn geïmplementeerd vanuit GitHub:
| Source | Notes | Parser |
|---|---|---|
| Beheeractiviteiten van Azure | Gebeurtenissen van Azure-activiteiten (in de AzureActivity tabel) in de categorie Administrative. |
ASimAuditEventAzureActivity |
| Exchange 365-beheeractiviteiten | Exchange Beheer istratieve gebeurtenissen die zijn verzameld met behulp van de Office 365-connector (in de OfficeActivity tabel). |
ASimAuditEventMicrosoftOffice365 |
| Windows-logboek wissen gebeurtenis | Windows-gebeurtenis 1102 die is verzameld met behulp van de Connector voor beveiligingsevenementen van de Log Analytics-agent of de Azure Monitor-agentbeveiligingsevenementen en WEF-connectors (met behulp van de SecurityEvent, WindowsEventof Event tabellen). |
ASimAuditEventMicrosoftWindowsEvents |
Verificatieparsers
Als u ASIM-verificatieparsers wilt gebruiken, implementeert u de parsers uit de GitHub-opslagplaats van Microsoft Sentinel. Microsoft Sentinel biedt de volgende parsers in de pakketten die zijn geïmplementeerd vanuit GitHub:
- Windows-aanmeldingen
- Wordt verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent.
- Wordt verzameld met behulp van de security events-connectors voor de tabel SecurityEvent of met behulp van de WEF-connector voor de WindowsEvent-tabel.
- Gerapporteerd als beveiligingsevenementen (4624, 4625, 4634 en 4647).
- gerapporteerd door Microsoft Defender XDR voor Eindpunt, verzameld met behulp van de Microsoft Defender XDR-connector.
- Linux-aanmeldingen
- gerapporteerd door Microsoft Defender XDR voor Eindpunt, verzameld met behulp van de Microsoft Defender XDR-connector.
su,suduensshdactiviteit gerapporteerd met syslog.- gerapporteerd door Microsoft Defender aan IoT-eindpunt.
- Microsoft Entra-aanmeldingen, verzameld met behulp van de Microsoft Entra-connector. Afzonderlijke parsers worden geleverd voor reguliere, niet-interactieve, beheerde identiteiten en serviceprincipes voor aanmeldingen.
- AWS-aanmeldingen, verzameld met behulp van de AWS CloudTrail-connector.
- Okta-verificatie, verzameld met behulp van de Okta-connector.
- PostgreSQL-aanmeldingslogboeken .
DNS-parsers
ASIM DNS-parsers zijn beschikbaar in elke werkruimte. Microsoft Sentinel biedt de volgende out-of-the-box parsers:
| Source | Notes | Parser |
|---|---|---|
| Genormaliseerde DNS-logboeken | Elke gebeurtenis die is genormaliseerd bij opname naar de ASimDnsActivityLogs tabel. De DNS-connector voor de Azure Monitor-agent maakt gebruik van de ASimDnsActivityLogs tabel en wordt ondersteund door de _Im_Dns_Native parser. |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BINDEN - BlucCat |
Dezelfde parsers ondersteunen meerdere bronnen. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS-server | Verzameld met: - DNS-connector voor de Log Analytics-agent - DNS-connector voor de Azure Monitor-agent - NXlog |
_Im_Dns_MicrosoftOMSVxxZie genormaliseerde DNS-logboeken. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon voor Windows (gebeurtenis 22) | Verzameld met: - de Log Analytics-agent - de Azure Monitor-agent Voor beide agents verzamelen beide zich voor de Event en WindowsEvent tabellen worden ondersteund. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Implementeer de door de werkruimte geïmplementeerde parsersversie vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Parsers voor bestandsactiviteit
Als u ASIM File Activity-parsers wilt gebruiken, implementeert u de parsers uit de GitHub-opslagplaats van Microsoft Sentinel. Microsoft Sentinel biedt de volgende parsers in de pakketten die zijn geïmplementeerd vanuit GitHub:
- Windows-bestandsactiviteit
- Gerapporteerd door Windows (gebeurtenis 4663):
- Wordt verzameld met behulp van de connector voor beveiligingsevenementen op basis van de Log Analytics-agent in de tabel SecurityEvent.
- Wordt verzameld met behulp van de azure Monitor Agent-connector voor beveiligingsevenementen naar de tabel SecurityEvent.
- Wordt verzameld met behulp van de WeF-connector (Windows Event Forwarding) op basis van de Azure Monitor-agent naar de WindowsEvent-tabel.
- Gerapporteerd met gebeurtenissen van sysmon-bestandsactiviteit (gebeurtenissen 11, 23 en 26):
- Wordt verzameld met behulp van de Log Analytics-agent voor de gebeurtenistabel.
- Wordt verzameld met behulp van de WeF-connector (Windows Event Forwarding) op basis van de Azure Monitor-agent naar de WindowsEvent-tabel.
- Gerapporteerd door Microsoft Defender XDR voor Eindpunt, verzameld met behulp van de Microsoft Defender XDR-connector.
- Gerapporteerd door Windows (gebeurtenis 4663):
- Microsoft Office 365 SharePoint- en OneDrive-gebeurtenissen, verzameld met behulp van de Office-activiteitsconnector.
- Azure Storage, waaronder Blob, File, Queue en Table Storage.
Netwerksessieparsers
ASIM-netwerksessieparsers zijn beschikbaar in elke werkruimte. Microsoft Sentinel biedt de volgende out-of-the-box parsers:
| Source | Notes | Parser |
|---|---|---|
| Genormaliseerde netwerksessielogboeken | Elke gebeurtenis die is genormaliseerd bij opname naar de ASimNetworkSessionLogs tabel. De firewallconnector voor de Azure Monitor-agent maakt gebruik van de ASimNetworkSessionLogs tabel en wordt ondersteund door de _Im_NetworkSession_Native parser. |
_Im_NetworkSession_Native |
| AppGate SDP | IP-verbindingslogboeken die worden verzameld met Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC-logboeken | Verzameld met behulp van de AWS S3-connector. | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall-logboeken | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VM Verbinding maken ion | Verzameld als onderdeel van de Azure Monitor VM Insights-oplossing. | _Im_NetworkSession_VMConnectionVxx |
| NSG-logboeken (Azure Network Security Groups) | Verzameld als onderdeel van de Azure Monitor VM Insights-oplossing. | _Im_NetworkSession_AzureNSGVxx |
| Controlepuntfirewall-1 | Verzameld met CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Verzameld met behulp van de CEF-connector. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Verzameld met behulp van de Cisco Meraki API-connector. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Verzameld met behulp van de Corelight Zeek-connector. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | IP-verbindingslogboeken die worden verzameld met Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR voor eindpunt | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT-microagent | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender voor IoT-sensor | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Palo Alto PanOS-verkeerslogboeken | Verzameld met CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon voor Linux (gebeurtenis 3) | Verzameld met behulp van de Log Analytics-agent of de Azure Monitor-agent. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Ondersteunt de packparameter . | _Im_NetworkSession_VectraIAVxx |
| Windows Firewall-logboeken | Verzameld als Windows-gebeurtenissen met behulp van de Log Analytics-agent (gebeurtenistabel) of Azure Monitor Agent (WindowsEvent-tabel). Ondersteunt Windows-gebeurtenissen 5150 tot 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Verzameld met Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA-firewalllogboeken | Verzameld met CEF. | _Im_NetworkSessionZscalerZIAVxx |
Implementeer de door de werkruimte geïmplementeerde parsersversie vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Parsers voor procesevenementen
Als u ASIM Process Event Parsers wilt gebruiken, implementeert u de parsers uit de GitHub-opslagplaats van Microsoft Sentinel. Microsoft Sentinel biedt de volgende parsers in de pakketten die zijn geïmplementeerd vanuit GitHub:
- Proces voor het maken van beveiligings gebeurtenissen (gebeurtenis 4688), verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent
- Beëindiging van het proces van beveiligings gebeurtenissen (gebeurtenis 4689) die wordt verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent
- Sysmon-proces maken (gebeurtenis 1), verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent
- Sysmon-procesbeëindiging (gebeurtenis 5), verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent
- Microsoft Defender XDR voor het maken van een eindpuntproces
Register event parsers
Als u ASIM Registry Event Parsers wilt gebruiken, implementeert u de parsers uit de GitHub-opslagplaats van Microsoft Sentinel. Microsoft Sentinel biedt de volgende parsers in de pakketten die zijn geïmplementeerd vanuit GitHub:
- Registerupdate van beveiligings gebeurtenissen (gebeurtenissen 4657 en 4663), verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent
- Sysmon-registerbewakings gebeurtenissen (gebeurtenissen 12, 13 en 14), verzameld met behulp van de Log Analytics-agent of Azure Monitor-agent
- Microsoft Defender XDR voor eindpuntregisters
Parsers voor websessies
ASIM-websessieparsers zijn beschikbaar in elke werkruimte. Microsoft Sentinel biedt de volgende out-of-the-box parsers:
| Source | Notes | Parser |
|---|---|---|
| Genormaliseerde websessielogboeken | Elke gebeurtenis die is genormaliseerd bij opname naar de ASimWebSessionLogs tabel. |
_Im_WebSession_NativeVxx |
| IIS-logboeken (Internet Information Services) | Wordt verzameld met behulp van de IIS-connectors op basis van de AMA- of Log Analytics-agent. | _Im_WebSession_IISVxx |
| Bedreigingslogboeken van Palo Alto PanOS | Verzameld met CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Inktvisproxy | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI Streams | Ondersteunt de packparameter . | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Verzameld met CEF. | _Im_WebSessionZscalerZIAVxx |
Implementeer de door de werkruimte geïmplementeerde parsersversie vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Volgende stappen
Meer informatie over ASIM-parsers:
Meer informatie over ASIM: