Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten dokument zawiera listę analizatorów zaawansowanego modelu informacji o zabezpieczeniach (ASIM). Omówienie analizatorów ASIM można znaleźć w omówieniu analizatorów. Aby zrozumieć, jak analizatory mieszczą się w architekturze ASIM, zapoznaj się z diagramem architektury ASIM.
Analizatory, które nie mają wartości w obszarze Uses pack parameter , nie mają wypełnionej AdditionalFields kolumny.
Analizatory zdarzeń alertów
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR zdarzenia alertu (w AlertEvidence tabeli). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| Liczba pojedyncza usługi SentinelOne | SentinelOne Pojedyncze zdarzenia zagrożenia (w SentinelOne_CL tabeli). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analizatory zdarzeń inspekcji
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki zdarzeń inspekcji | Każde zdarzenie znormalizowane podczas pozyskiwania ASimAuditEventLogs do tabeli. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | Zdarzenia inspekcji usługi AWS CloudTrail. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| działanie Azure | Azure zdarzenia działania (w AzureActivity tabeli) w kategorii Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault zdarzeń inspekcji. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Zdarzenia barracuda zebrane przy użyciu CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Zdarzenia zapory aplikacji internetowej Barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Zdarzenia Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Zdarzenia Cisco Meraki zebrane przy użyciu łącznika interfejsu API lub dziennika Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Zdarzenia Cisco Meraki zebrane do tabeli Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| Sokół CrowdStrike | Imprezy hosta CrowdStrike Falcon. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Zdarzenia Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Zdarzenia Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Zdarzenia Microsoft | Zdarzenia inspekcji Event systemu Windows zebrane w tabeli |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Zdarzenia administracyjne programu Exchange zebrane przy użyciu łącznika Office 365 (w OfficeActivity tabeli). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Zdarzenia zabezpieczeń firmy Microsoft | Zdarzenie systemu Windows 1102 zebrane przy użyciu Azure Monitor Agent (przy użyciu SecurityEvent tabel). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Zdarzenia systemu Microsoft Windows | Zdarzenie systemu Windows 1102 zebrane przy użyciu Azure Monitor Agent (przy użyciu WindowsEvent tabel). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Zdarzenia SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Zdarzenia inspekcji środowiska Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Zdarzenia VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Analizatory uwierzytelniania
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki uwierzytelniania | Każde zdarzenie znormalizowane podczas pozyskiwania ASimAuthenticationEventLogs do tabeli. |
_Im_Authentication_Native |
|
| AWS CloudTrail | Logowania platformy AWS zebrane przy użyciu łącznika usługi CloudTrail platformy AWS. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Zdarzenia zapory aplikacji internetowej Barracuda. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Zdarzenia aplikacji Cisco ASA zbierane przy użyciu programu CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Zdarzenia Cisco ISE. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Zdarzenia Cisco Meraki zebrane przy użyciu łącznika interfejsu API lub dziennika Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Zdarzenia Cisco Meraki zebrane do tabeli Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| Sokół CrowdStrike | Imprezy hosta CrowdStrike Falcon. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Dzienniki administratora systemu Fortinet Fortigate. | _Im_Authentication_FortigateVxx |
|
| Obszar roboczy Google | Logowania do obszaru roboczego Google. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Zdarzenia Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Usługa Microsoft Defender dla IoT | Microsoft Defender dla zdarzeń uwierzytelniania IoT. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR dla logowania punktu końcowego dla systemu Windows i Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID logowania zbierane przy użyciu łącznika Microsoft Entra w celu regularnego logowania. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (nieinterakcyjne) | Microsoft Entra ID logowania zebrane przy użyciu łącznika Microsoft Entra dla logowań nieinterakcyjnych. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (tożsamości zarządzane) | Microsoft Entra ID logowania zebrane przy użyciu łącznika Microsoft Entra dla logowania tożsamości zarządzanych. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (jednostka usługi) | Microsoft Entra ID logowania zebrane przy użyciu łącznika Microsoft Entra dla logowania jednostki usługi. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Zdarzenia systemu Microsoft Windows | Logowania systemu Windows (zdarzenia 4624, 4625, 4634, 4647) zbierane przy użyciu agenta Azure monitora lub agenta usługi Log Analytics do SecurityEvent tabel lubWindowsEvent. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (wersja 1) | Uwierzytelnianie okta zebrane przy użyciu łącznika Okta (V1 SSO). | _Im_Authentication_OktaOSSVxx |
|
| Okta (wersja 2) | Uwierzytelnianie okta zebrane przy użyciu łącznika Okta (wersja 2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Uwierzytelnianie okta zebrane przy użyciu w tabeli OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Wydarzenia w aplikacji Palo Alto Cortex Data Lake. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| Postgresql | Dzienniki logowania PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Zdarzenia w chmurze usługi Salesforce Service. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | Zdarzenia SentinelOne. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux działania sshd zgłaszane przy użyciu protokołu Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux działania su zgłaszane przy użyciu protokołu Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux działania sudo zgłaszane przy użyciu dziennika systemowego. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Zdarzenia inspekcji środowiska Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Zdarzenia VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analizatory zdarzeń DHCP
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki zdarzeń DHCP | Każde zdarzenie znormalizowane podczas pozyskiwania ASimDhcpEventLogs do tabeli. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Zdarzenia DHCP obiektu BloxOne infoblox. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
Analizatory DNS
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki DNS | Każde zdarzenie znormalizowane podczas pozyskiwania ASimDnsActivityLogs do tabeli. Łącznik DNS dla agenta monitora Azure używa ASimDnsActivityLogs tabeli. |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall dzienników DNS. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Dzienniki DNS aplikacji Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Dzienniki DNS Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate dzienniki DNS. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Dzienniki DNS platformy Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne zdarzeń DNS. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Serwery DNS Infoblox NIOS, BIND i BlueCat. Ten sam analizator obsługuje wiele źródeł. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Zbierane przy użyciu łącznika DNS dla agenta usługi Log Analytics (starsza wersja). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Serwer DNS firmy Microsoft zbierany przy użyciu protokołu NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon dla systemu Windows (zdarzenie) | Sysmon DNS events (Event 22) collected using Azure Monitor Agent or the Log Analytics Agent (legacy) to the table(Sysmon DNS events (Zdarzenie 22) collected using Azure Monitor Agent or the Log Analytics Agent (legacy) to the Event table. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon dla systemu Windows (WindowsEvent) | Sysmon DNS events (Event 22) collected using Azure Monitor Agent or the Log Analytics Agent (legacy) to the table(Sysmon DNS events (Zdarzenie 22) collected using Azure Monitor Agent or the Log Analytics Agent (legacy) to the WindowsEvent table. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | Zdarzenia DNS usługi SentinelOne. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Zdarzenia DNS usługi Vectra AI. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Dzienniki DNS Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analizatory działań plików
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki zdarzeń plików | Każde zdarzenie znormalizowane podczas pozyskiwania ASimFileEventLogs do tabeli. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | Zdarzenia plików usługi AWS CloudTrail. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage zdarzeń pliku. | _Im_FileEvent_AzureBlobStorageVxx |
|
| magazyn plików Azure | Azure zdarzenia usługi File Storage. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure Queue Storage | Azure zdarzenia usługi Queue Storage. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure zdarzenia usługi Table Storage. | _Im_FileEvent_AzureTableStorageVxx |
|
| Obszar roboczy Google | Zdarzenia pliku obszaru roboczego Google. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (zdarzenia utworzone) | Sysmon dla zdarzeń utworzonych w pliku Linux (Zdarzenia 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (usunięte zdarzenia) | Sysmon dla zdarzeń usunięcia pliku Linux (Zdarzenia 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR dla zdarzeń pliku punktu końcowego. | _Im_FileEvent_Microsoft365DVxx |
|
| Zdarzenia zabezpieczeń firmy Microsoft | Zdarzenia plików systemu Windows (zdarzenie 4663) zebrane przy użyciu łącznika Zdarzenia zabezpieczeń. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 zdarzenia programu SharePoint i usługi OneDrive zebrane przy użyciu łącznika działania pakietu Office. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon dla systemu Windows (zdarzenie) | Sysmon dla zdarzeń plików systemu Windows (zdarzenia 11, 23, 26) zebrane do Event tabeli. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon dla systemu Windows (WindowsEvent) | Sysmon dla zdarzeń plików systemu Windows (zdarzenia 11, 23, 26) zebrane do WindowsEvent tabeli. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Zdarzenia systemu Microsoft Windows | Zdarzenia plików systemu Windows (zdarzenie 4663) zebrane do WindowsEvent tabeli. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Zdarzenia pliku SentinelOne. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | Zdarzenia plików VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Analizatory sesji sieciowej
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Dzienniki znormalizowanych sesji sieciowych | Każde zdarzenie znormalizowane podczas pozyskiwania ASimNetworkSessionLogs do tabeli. Łącznik zapory dla agenta monitora Azure używa tej tabeli. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Dzienniki połączeń ip zbierane przy użyciu dziennika systemowego. | _Im_NetworkSession_AppGateSDPVxx |
|
| Dzienniki VPC platformy AWS | Zbierane przy użyciu łącznika AWS S3. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall dzienników sieciowych. | _Im_NetworkSession_AzureFirewallVxx |
false |
| sieciowa grupa zabezpieczeń Azure | Azure dzienniki przepływu sieciowych grup zabezpieczeń. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Monitor VMConnection | Zbierane w ramach rozwiązania Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Zdarzenia barracuda zebrane przy użyciu CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Zdarzenia zapory aplikacji internetowej Barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Zapora punktu kontrolnego | Zdarzenia zapory punktu kontrolnego zbierane przy użyciu programu CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Zdarzenia aplikacji Cisco ASA zbierane przy użyciu programu CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Zdarzenia Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Zdarzenia Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Zdarzenia Cisco Meraki zebrane przy użyciu łącznika interfejsu API lub dziennika Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Zdarzenia Cisco Meraki zebrane do tabeli Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Zdarzenia sieciowe Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
|
| Sokół CrowdStrike | Imprezy hosta CrowdStrike Falcon. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| Zapora programu ForcePoint | Zdarzenia zapory programu ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Zdarzenia zapory Fortinet FortiGate zebrane przy użyciu dziennika Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Zdarzenia Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender dla IoT (Agent) | Microsoft Defender zdarzeń mikro agenta IoT. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender dla IoT (czujnik) | Microsoft Defender zdarzeń mikro czujników IoT. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR dla zdarzeń sieciowych punktu końcowego. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon dla Linux | Sysmon dla zdarzeń sieciowych Linux (zdarzenie 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon dla systemu Windows (zdarzenie) | Sysmon dla zdarzeń sieciowych systemu Windows (zdarzenie 3) zebranych do Event tabeli. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon dla systemu Windows (WindowsEvent) | Sysmon dla zdarzeń sieciowych systemu Windows (zdarzenie 3) zebranych do WindowsEvent tabeli. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Zapora systemu Microsoft Windows | Zdarzenia zapory systemu Windows (zdarzenia 5150-5159) zbierane przy użyciu agenta Azure Monitor lub agenta usługi Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Zapora zdarzeń Zabezpieczenia Windows firmy Microsoft | Zdarzenia zapory systemu Windows zbierane za pośrednictwem łącznika zdarzeń zabezpieczeń. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Zdarzenia usługi Network Traffic Analytics. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Dzienniki ruchu palo Alto PanOS zebrane przy użyciu programu CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Wydarzenia w aplikacji Palo Alto Cortex Data Lake. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | Zdarzenia sieciowe SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | Zdarzenia zapory SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Zdarzenia sieciowe vectra AI. Obsługuje parametr pakietu. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | Zdarzenia sieciowe VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| System operacyjny WatchGuard Fireware | Zdarzenia systemu operacyjnego WatchGuard Fireware zebrane przy użyciu protokołu Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Dzienniki zapory ZScaler ZIA zebrane przy użyciu programu CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analizatory zdarzeń procesu
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki zdarzeń procesu | Każde zdarzenie znormalizowane podczas pozyskiwania ASimProcessEventLogs do tabeli. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Tworzenie) | Sysmon dla zdarzeń tworzenia procesów Linux (Zdarzenia 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Zakończenie) | Sysmon dla zdarzeń zakończenia procesu Linux (Zdarzenia 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Usługa Microsoft Defender dla IoT | Microsoft Defender dla zdarzeń procesu IoT. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR dla zdarzeń procesu punktu końcowego. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Zdarzenia zabezpieczeń firmy Microsoft (Tworzenie) | zdarzenia tworzenia procesów Zabezpieczenia Windows Zdarzenia (Zdarzenia 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Zdarzenia zabezpieczeń firmy Microsoft (zakończenie) | Zabezpieczenia Windows Zdarzenia przetwarzają zdarzenia zakończenia (Zdarzenia 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon dla systemu Windows (Tworzenie) | Sysmon dla zdarzeń procesu systemu Windows (zdarzenie 1) zebranych Event do tabel. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon dla systemu Windows (Zakończ) | Sysmon dla zdarzeń procesu systemu Windows (zdarzenie 5) zebranych do Event tabel. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Zdarzenia systemu Microsoft Windows (Tworzenie) | Zdarzenia przetwarzania systemu Windows (zdarzenie 4688) zebrane do WindowsEvent tabeli. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Zdarzenia systemu Microsoft Windows (zakończenie) | Zdarzenia przetwarzania systemu Windows (zdarzenie 4689) zebrane do WindowsEvent tabeli. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Zdarzenia procesu SentinelOne. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Zdarzenia procesu Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Tworzenie) | Zdarzenia tworzenia procesów VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (zakończenie) | Zdarzenia zakończenia procesu VMware Carbon Black Cloud. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Analizatory zdarzeń rejestru
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki zdarzeń rejestru | Każde zdarzenie znormalizowane podczas pozyskiwania ASimRegistryEventLogs do tabeli. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR dla zdarzeń rejestru punktu końcowego. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Zdarzenia zabezpieczeń firmy Microsoft | Zabezpieczenia Windows zdarzenia rejestru (zdarzenia 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon dla systemu Windows | Sysmon dla zdarzeń rejestru systemu Windows (zdarzenia 12, 13, 14) zebrane do Event tabel lub WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Zdarzenia systemu Microsoft Windows | Zdarzenia rejestru systemu Windows zebrane do WindowsEvent tabeli. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | Zdarzenia rejestru SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Zdarzenia rejestru Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | Zdarzenia rejestru VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Analizatory zarządzania użytkownikami
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki zarządzania użytkownikami | Każde zdarzenie znormalizowane podczas pozyskiwania ASimUserManagementLogs do tabeli. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | Zdarzenia zarządzania użytkownikami usługi AWS CloudTrail. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Zdarzenia zarządzania użytkownikami cisco ISE. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux zdarzenia zarządzania użytkownikami authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Zdarzenia zabezpieczeń firmy Microsoft | Zabezpieczenia Windows zdarzenia zarządzania użytkownikami. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Zdarzenia systemu Microsoft Windows | Zdarzenia zarządzania użytkownikami systemu Windows zebrane w WindowsEvent tabeli. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | Zdarzenia zarządzania użytkownikami usługi SentinelOne. | _Im_UserManagement_SentinelOneVxx |
false |
Analizatory sesji sieci Web
| Źródło | Uwagi | Parser | Używa parametru pack |
|---|---|---|---|
| Znormalizowane dzienniki sesji sieci Web | Każde zdarzenie znormalizowane podczas pozyskiwania ASimWebSessionLogs do tabeli. |
_Im_WebSession_Native |
|
| Serwer HTTP apache | Dzienniki serwera HTTP usługi Apache. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall dzienniki sesji internetowej. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Zdarzenia barracuda zebrane przy użyciu CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Zdarzenia zapory aplikacji internetowej Barracuda. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Wydarzenia internetowe Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Wydarzenia internetowe Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Zdarzenia internetowe Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | Zdarzenia internetowe usługi ASM F5. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Dzienniki sesji sieci Web Fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Oprogramowanie Internet Information Services (IIS) | Dzienniki usług IIS zbierane przy użyciu agenta Azure Monitor lub agenta usługi Log Analytics. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Dzienniki zagrożeń Palo Alto PanOS zebrane przy użyciu programu CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Wydarzenia w aplikacji Palo Alto Cortex Data Lake. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | Zdarzenia internetowe zapory SonicWall Firewall. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Serwer proxy kalmary | Dzienniki sieci Web serwera proxy kalmary. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Zdarzenia internetowe vectra AI. Obsługuje parametr pakietu. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Dzienniki internetowe ZScaler ZIA zebrane przy użyciu programu CEF. | _Im_WebSession_ZscalerZIAVxx |
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Korzystanie z analizatorów ASIM
- Opracowywanie niestandardowych analizatorów ASIM
- Zarządzanie analizatorami ASIM
Dowiedz się więcej o usłudze ASIM:
- Obejrzyj seminarium internetowe deep dive na Microsoft Sentinel Normalizowanie analizatorów i znormalizowana zawartość lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)