Lista analizatorów usługi Microsoft Sentinel Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Ten dokument zawiera listę analizatorów advanced Security Information Model (ASIM). Aby zapoznać się z omówieniem analizatorów ASIM, zapoznaj się z omówieniem analizatorów. Aby zrozumieć, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Inspekcja analizatorów zdarzeń
Aby użyć analizatorów zdarzeń inspekcji ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
| Source | Uwagi | Parser |
|---|---|---|
| Zdarzenia administracyjne działania platformy Azure | Zdarzenia działania platformy AzureActivity Azure (w tabeli) w kategorii Administrative. |
ASimAuditEventAzureActivity |
| Zdarzenia administracyjne programu Exchange 365 | Zdarzenia Administracja istracyjne programu Exchange zebrane przy użyciu łącznika usługi Office 365 (w OfficeActivity tabeli). |
ASimAuditEventMicrosoftOffice365 |
| Zdarzenie czyszczenia dziennika systemu Windows | Zdarzenie systemu Windows 1102 zebrane przy użyciu łącznika zdarzeń zabezpieczeń agenta usługi Log Analytics lub zdarzeń zabezpieczeń agenta usługi Azure Monitor i łączników WEF (przy użyciu SecurityEventtabel , WindowsEventlub Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Analizatory uwierzytelniania
Aby użyć analizatorów uwierzytelniania ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Logowania do systemu Windows
- Zbierane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor.
- Zbierane przy użyciu łączników zdarzeń zabezpieczeń do tabeli SecurityEvent lub przy użyciu łącznika WEF do tabeli WindowsEvent.
- Zgłaszane jako zdarzenia zabezpieczeń (4624, 4625, 4634 i 4647).
- raportowany przez usługę Microsoft Defender XDR dla punktu końcowego zebrany przy użyciu łącznika XDR usługi Microsoft Defender.
- Logowania do systemu Linux
- raportowany przez usługę Microsoft Defender XDR dla punktu końcowego zebrany przy użyciu łącznika XDR usługi Microsoft Defender.
su,suduisshdaktywność zgłoszona przy użyciu dziennika systemowego.- zgłoszone przez usługę Microsoft Defender do punktu końcowego IoT.
- Logowania firmy Microsoft Entra zebrane przy użyciu łącznika Microsoft Entra. Oddzielne analizatory są udostępniane dla zwykłych, nieinterakcyjnych, zarządzanych tożsamości i zasad usługi logowania.
- Logowania platformy AWS zebrane przy użyciu łącznika AWS CloudTrail.
- Uwierzytelnianie usługi Okta zebrane przy użyciu łącznika Usługi Okta.
- Dzienniki logowania bazy danych PostgreSQL .
Analizatory DNS
Analizatory DNS ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:
| Source | Uwagi | Parser |
|---|---|---|
| Znormalizowane dzienniki DNS | Każde zdarzenie znormalizowane podczas pozyskiwania ASimDnsActivityLogs do tabeli. Łącznik DNS agenta usługi Azure Monitor używa ASimDnsActivityLogs tabeli i jest obsługiwany przez _Im_Dns_Native analizator. |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - POWIĄZAĆ - BlucCat |
Te same analizatory obsługują wiele źródeł. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | Zbierane przy użyciu: - Łącznik DNS agenta usługi Log Analytics — Łącznik DNS agenta usługi Azure Monitor - NXlog |
_Im_Dns_MicrosoftOMSVxxZobacz Znormalizowane dzienniki DNS. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon dla systemu Windows (zdarzenie 22) | Zbierane przy użyciu: — agent usługi Log Analytics — agent usługi Azure Monitor W przypadku obu agentów obaj zbierają dane do Event Tabele i WindowsEvent są obsługiwane. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.
Analizatory działań plików
Aby użyć analizatorów działań plików ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Działanie pliku systemu Windows
- Zgłoszone przez system Windows (zdarzenie 4663):
- Zbierane przy użyciu łącznika zdarzeń zabezpieczeń opartych na agencie usługi Log Analytics do tabeli SecurityEvent.
- Zbierane przy użyciu łącznika zdarzeń zabezpieczeń opartych na agencie usługi Azure Monitor do tabeli SecurityEvent.
- Zbierane przy użyciu łącznika WEF (Przekazywanie zdarzeń systemu Windows) opartego na agencie usługi Azure Monitor do tabeli WindowsEvent.
- Zgłaszane przy użyciu zdarzeń działania pliku Sysmon (zdarzenia 11, 23 i 26):
- Zbierane przy użyciu agenta usługi Log Analytics do tabeli Zdarzenia.
- Zbierane przy użyciu łącznika WEF (Przekazywanie zdarzeń systemu Windows) opartego na agencie usługi Azure Monitor do tabeli WindowsEvent.
- Zgłoszone przez usługę Microsoft Defender XDR dla punktu końcowego zebrane przy użyciu łącznika XDR usługi Microsoft Defender.
- Zgłoszone przez system Windows (zdarzenie 4663):
- Zdarzenia programu Microsoft Office 365 SharePoint i OneDrive zebrane przy użyciu łącznika aktywności pakietu Office.
- Usługa Azure Storage, w tym obiekt blob, plik, kolejka i usługa Table Storage.
Analizatory sesji sieciowych
Analizatory sesji sieciowych ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:
| Source | Uwagi | Parser |
|---|---|---|
| Znormalizowane dzienniki sesji sieci | Każde zdarzenie znormalizowane podczas pozyskiwania ASimNetworkSessionLogs do tabeli. Łącznik zapory dla agenta usługi Azure Monitor używa ASimNetworkSessionLogs tabeli i jest obsługiwany przez _Im_NetworkSession_Native analizator. |
_Im_NetworkSession_Native |
| AppGate SDP | Dzienniki połączeń IP zebrane przy użyciu dziennika systemowego. | _Im_NetworkSession_AppGateSDPVxx |
| Dzienniki VPC platformy AWS | Zbierane przy użyciu łącznika platformy AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Dzienniki usługi Azure Firewall | _Im_NetworkSession_AzureFirewallVxx |
|
| Maszyna wirtualna usługi Azure Monitor Połączenie ion | Zbierane jako część rozwiązania Szczegółowe informacje maszyny wirtualnej usługi Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Dzienniki sieciowych grup zabezpieczeń platformy Azure | Zbierane jako część rozwiązania Szczegółowe informacje maszyny wirtualnej usługi Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
| Zapora punktu kontrolnego-1 | Zbierane przy użyciu formatu CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Zbierane przy użyciu łącznika CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Zbierane przy użyciu łącznika interfejsu API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Zbierane przy użyciu łącznika Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Dzienniki połączeń IP zebrane przy użyciu dziennika systemowego. | _Im_NetworkSession_FortinetFortiGateVxx |
| Zapora programu ForcePoint | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Usługa Microsoft Defender XDR dla punktu końcowego | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT micro agent | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Czujnik usługi Microsoft Defender dla IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Dzienniki ruchu Palo Alto PanOS | Zbierane przy użyciu formatu CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon dla systemu Linux (zdarzenie 3) | Zbierane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Obsługuje parametr pakietu. | _Im_NetworkSession_VectraIAVxx |
| Dzienniki Zapory systemu Windows | Zbierane jako zdarzenia systemu Windows przy użyciu agenta usługi Log Analytics (tabela zdarzeń) lub agenta usługi Azure Monitor (tabela WindowsEvent). Obsługuje zdarzenia systemu Windows od 5150 do 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Straż straży straży pożarnejOW | Zbierane przy użyciu dziennika systemowego. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Dzienniki zapory ZIA rozwiązania Zscaler | Zbierane przy użyciu formatu CEF. | _Im_NetworkSessionZscalerZIAVxx |
Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.
Analizatory zdarzeń przetwarzania
Aby użyć analizatorów zdarzeń procesu ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Tworzenie procesu zdarzeń zabezpieczeń (zdarzenie 4688) zebrane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor
- Kończenie procesu zdarzeń zabezpieczeń (zdarzenie 4689) zbierane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor
- Tworzenie procesu sysmon (zdarzenie 1), zbierane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor
- Zakończenie procesu sysmon (zdarzenie 5) zebrane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor
- Tworzenie procesu punktu końcowego w usłudze Microsoft Defender XDR
Analizatory zdarzeń rejestru
Aby użyć analizatorów zdarzeń rejestru ASIM, wdróż analizatory z repozytorium GitHub usługi Microsoft Sentinel. Usługa Microsoft Sentinel udostępnia następujące analizatory w pakietach wdrożonych z usługi GitHub:
- Aktualizacja rejestru zdarzeń zabezpieczeń (zdarzenia 4657 i 4663) zbierane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor
- Zdarzenia monitorowania rejestru sysmon (zdarzenia 12, 13 i 14) zbierane przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor
- Zdarzenia rejestru punktów końcowych w usłudze Microsoft Defender XDR
Analizatory sesji sieci Web
Analizatory sesji sieci Web ASIM są dostępne w każdym obszarze roboczym. Usługa Microsoft Sentinel udostępnia następujące gotowe analizatory:
| Source | Uwagi | Parser |
|---|---|---|
| Znormalizowane dzienniki sesji sieci Web | Każde zdarzenie znormalizowane podczas pozyskiwania ASimWebSessionLogs do tabeli. |
_Im_WebSession_NativeVxx |
| Dzienniki usług Internet Information Services (IIS) | Zbierane przy użyciu łączników usług IIS opartych na agentach usługi AMA lub Log Analytics. | _Im_WebSession_IISVxx |
| Dzienniki zagrożeń palo Alto PanOS | Zbierane przy użyciu formatu CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI Strumienie | Obsługuje parametr pakietu. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Zbierane przy użyciu formatu CEF. | _Im_WebSessionZscalerZIAVxx |
Wdróż wersję analizatorów wdrożonego obszaru roboczego z repozytorium GitHub usługi Microsoft Sentinel.
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Korzystanie z analizatorów ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Zarządzanie analizatorami ASIM
Dowiedz się więcej o usłudze ASIM:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)