Lista de analisadores Microsoft Sentinel Advanced Security Information Model (ASIM) (visualização pública)
Este documento fornece uma lista de analisadores ASIM (Advanced Security Information Model). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral dos analisadores. Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Importante
ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores de eventos de auditoria
Para usar analisadores de eventos de auditoria ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
Source | Notas | Analisador |
---|---|---|
Eventos administrativos da Atividade do Azure | Eventos de Atividade do AzureActivity Azure (na tabela) na categoria Administrative . |
ASimAuditEventAzureActivity |
Eventos administrativos do Exchange 365 | Eventos administrativos do Exchange coletados usando o conector do Office 365 (na OfficeActivity tabela). |
ASimAuditEventMicrosoftOffice365 |
Evento de limpeza do Log do Windows | Evento 1102 do Windows coletado usando o conector de Eventos de Segurança do agente do Log Analytics ou os conectores de Eventos de Segurança e WEF do agente do Azure monitor (usando as SecurityEvent tabelas , WindowsEvent ou Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Analisadores de autenticação
Para usar analisadores de autenticação ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Entradas do Windows
- Coletados usando o Log Analytics Agent ou o Azure Monitor Agent.
- Coletado usando os conectores de Eventos de Segurança para a tabela SecurityEvent ou usando o conector WEF para a tabela WindowsEvent.
- Eventos de segurança (4624, 4625, 4634 e 4647).
- relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
- Entradas no Linux
- relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
su
,sudu
esshd
atividade relatada usando o Syslog.- reportado pelo Microsoft Defender ao IoT Endpoint.
- Entradas do Microsoft Entra, coletadas usando o conector Microsoft Entra. Analisadores separados são fornecidos para entradas regulares, não interativas, identidades gerenciadas e princípios de serviço.
- Logins da AWS, coletados usando o conector do AWS CloudTrail.
- Autenticação Okta, coletada usando o conector Okta.
- Logs de entrada do PostgreSQL .
Analisadores DNS
Os analisadores DNS ASIM estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Source | Notas | Analisador |
---|---|---|
Logs DNS normalizados | Qualquer evento normalizado na ingestão à ASimDnsActivityLogs mesa. O conector DNS para o Agente do Azure Monitor usa a ASimDnsActivityLogs tabela e é suportado _Im_Dns_Native pelo analisador. |
_Im_Dns_Native |
Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
Guarda-chuva Cisco | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - VINCULAR - BlucCat |
Os mesmos analisadores suportam várias fontes. | _Im_Dns_InfobloxNIOSVxx |
Servidor DNS da Microsoft | Recolhido usando: - Conector DNS para o Log Analytics Agent - Conector DNS para o Azure Monitor Agent - NXlog |
_Im_Dns_MicrosoftOMSVxx Consulte Logs DNS normalizados. _Im_Dns_MicrosoftNXlogVxx |
Sysmon para Windows (evento 22) | Recolhido usando: - o Agente de Análise de Log - o Agente do Azure Monitor Para ambos os agentes, ambos recolhendo para o Event e WindowsEvent tabelas são suportadas. |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.
Analisadores de atividade de arquivo
Para usar analisadores de atividade de arquivo ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Atividade de arquivos do Windows
- Relatado pelo Windows (evento 4663):
- Coletado usando o conector de Eventos de Segurança baseado no Log Analytics Agent para a tabela SecurityEvent.
- Coletados usando o conector de Eventos de Segurança baseado no Agente do Azure Monitor para a tabela SecurityEvent.
- Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
- Relatado usando eventos de atividade de arquivo Sysmon (Eventos 11, 23 e 26):
- Coletado usando o Log Analytics Agent para a tabela de eventos.
- Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
- Relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
- Relatado pelo Windows (evento 4663):
- Eventos do Microsoft Office 365 SharePoint e OneDrive, coletados usando o conector de atividade do Office.
- Armazenamento do Azure, incluindo Blob, Arquivo, Fila e Armazenamento de Tabela.
Analisadores de sessão de rede
Os analisadores de sessão de rede ASIM estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Source | Notas | Analisador |
---|---|---|
Logs de sessão de rede normalizados | Qualquer evento normalizado na ingestão à ASimNetworkSessionLogs mesa. O conector de Firewall para o Agente de Monitor do Azure usa a ASimNetworkSessionLogs tabela e é suportado _Im_NetworkSession_Native pelo analisador. |
_Im_NetworkSession_Native |
AppGate SDP | Logs de conexão IP coletados usando o Syslog. | _Im_NetworkSession_AppGateSDPVxx |
Logs da AWS VPC | Coletado usando o conector do AWS S3. | _Im_NetworkSession_AWSVPCVxx |
Logs do Firewall do Azure | _Im_NetworkSession_AzureFirewallVxx |
|
Azure Monitor VMConnection | Coletado como parte da solução Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
Logs do NSG (Grupos de Segurança de Rede) do Azure | Coletado como parte da solução Azure Monitor VM Insights. | _Im_NetworkSession_AzureNSGVxx |
Ponto de verificação Firewall-1 | Recolhido através do CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | Recolhido utilizando o conector CEF. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Coletado usando o conector Cisco Meraki API. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Coletado usando o conector Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | Logs de conexão IP coletados usando o Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
Microsoft Defender XDR para Endpoint | _Im_NetworkSession_Microsoft365DefenderVxx |
|
Microsoft Defender para microagente IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
Sensor Microsoft Defender para IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
Registros de tráfego do PanOS de Palo Alto | Recolhido através do CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon para Linux (evento 3) | Coletados usando o Log Analytics Agent ou o Agente do Azure Monitor. |
_Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | Suporta o parâmetro pack . | _Im_NetworkSession_VectraIAVxx |
Logs do Firewall do Windows | Coletados como eventos do Windows usando o Log Analytics Agent (tabela de eventos) ou o Azure Monitor Agent (tabela WindowsEvent). Suporta eventos do Windows 5150 a 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Vigia FirewareOW | Coletado usando Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Registos da firewall Zscaler ZIA | Recolhido através do CEF. | _Im_NetworkSessionZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.
Analisadores de eventos de processo
Para usar analisadores de eventos de processo ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Criação do processo de Eventos de Segurança (Evento 4688), coletados usando o Agente do Log Analytics ou o Agente do Azure Monitor
- Encerramento do processo de Eventos de Segurança (Evento 4689), coletados usando o Agente do Log Analytics ou o Agente do Azure Monitor
- Criação do processo Sysmon (Evento 1), coletado usando o Log Analytics Agent ou o Azure Monitor Agent
- Encerramento do processo Sysmon (Evento 5), coletado usando o Log Analytics Agent ou o Azure Monitor Agent
- Criação do processo Microsoft Defender XDR for Endpoint
Analisadores de eventos do Registro
Para usar analisadores de eventos do Registro ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:
- Atualização do registo de Eventos de Segurança (Eventos 4657 e 4663), recolhida utilizando o Agente do Log Analytics ou o Agente do Azure Monitor
- Eventos de monitoramento do Registro Sysmon (Eventos 12, 13 e 14), coletados usando o Log Analytics Agent ou o Azure Monitor Agent
- Eventos de registo do Microsoft Defender XDR for Endpoint
Analisadores de sessão da Web
Os analisadores ASIM Web Session estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:
Source | Notas | Analisador |
---|---|---|
Logs de sessão da Web normalizados | Qualquer evento normalizado na ingestão à ASimWebSessionLogs mesa. |
_Im_WebSession_NativeVxx |
Logs do IIS (Serviços de Informações da Internet) | Coletado usando os conectores do IIS baseados no AMA ou no Log Analytics Agent. | _Im_WebSession_IISVxx |
Registos de ameaças do PanOS de Palo Alto | Recolhido através do CEF. | _Im_WebSession_PaloAltoCEFVxx |
Proxy Lulas | _Im_WebSession_SquidProxyVxx |
|
Vectra AI Fluxos | Suporta o parâmetro pack . | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | Recolhido através do CEF. | _Im_WebSessionZscalerZIAVxx |
Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.
Próximos passos
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- Gerir analisadores do ASIM
Saiba mais sobre o ASIM:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)