Partilhar via


Lista de analisadores Microsoft Sentinel Advanced Security Information Model (ASIM) (visualização pública)

Este documento fornece uma lista de analisadores ASIM (Advanced Security Information Model). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral dos analisadores. Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.

Importante

ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Analisadores de eventos de auditoria

Para usar analisadores de eventos de auditoria ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:

Source Notas Analisador
Eventos administrativos da Atividade do Azure Eventos de Atividade do AzureActivity Azure (na tabela) na categoria Administrative. ASimAuditEventAzureActivity
Eventos administrativos do Exchange 365 Eventos administrativos do Exchange coletados usando o conector do Office 365 (na OfficeActivity tabela). ASimAuditEventMicrosoftOffice365
Evento de limpeza do Log do Windows Evento 1102 do Windows coletado usando o conector de Eventos de Segurança do agente do Log Analytics ou os conectores de Eventos de Segurança e WEF do agente do Azure monitor (usando as SecurityEventtabelas , WindowsEventou Event ). ASimAuditEventMicrosoftWindowsEvents

Analisadores de autenticação

Para usar analisadores de autenticação ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:

  • Entradas do Windows
    • Coletados usando o Log Analytics Agent ou o Azure Monitor Agent.
    • Coletado usando os conectores de Eventos de Segurança para a tabela SecurityEvent ou usando o conector WEF para a tabela WindowsEvent.
    • Eventos de segurança (4624, 4625, 4634 e 4647).
    • relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
  • Entradas no Linux
    • relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
    • su, sudue sshd atividade relatada usando o Syslog.
    • reportado pelo Microsoft Defender ao IoT Endpoint.
  • Entradas do Microsoft Entra, coletadas usando o conector Microsoft Entra. Analisadores separados são fornecidos para entradas regulares, não interativas, identidades gerenciadas e princípios de serviço.
  • Logins da AWS, coletados usando o conector do AWS CloudTrail.
  • Autenticação Okta, coletada usando o conector Okta.
  • Logs de entrada do PostgreSQL .

Analisadores DNS

Os analisadores DNS ASIM estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:

Source Notas Analisador
Logs DNS normalizados Qualquer evento normalizado na ingestão à ASimDnsActivityLogs mesa. O conector DNS para o Agente do Azure Monitor usa a ASimDnsActivityLogs tabela e é suportado _Im_Dns_Native pelo analisador. _Im_Dns_Native
Azure Firewall _Im_Dns_AzureFirewallVxx
Guarda-chuva Cisco _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- VINCULAR
- BlucCat
Os mesmos analisadores suportam várias fontes. _Im_Dns_InfobloxNIOSVxx
Servidor DNS da Microsoft Recolhido usando:
- Conector DNS para o Log Analytics Agent
- Conector DNS para o Azure Monitor Agent
- NXlog

_Im_Dns_MicrosoftOMSVxx
Consulte Logs DNS normalizados.
_Im_Dns_MicrosoftNXlogVxx
Sysmon para Windows (evento 22) Recolhido usando:
- o Agente de Análise de Log
- o Agente do Azure Monitor

Para ambos os agentes, ambos recolhendo para o
Event e WindowsEvent tabelas são suportadas.
_Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.

Analisadores de atividade de arquivo

Para usar analisadores de atividade de arquivo ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:

  • Atividade de arquivos do Windows
    • Relatado pelo Windows (evento 4663):
      • Coletado usando o conector de Eventos de Segurança baseado no Log Analytics Agent para a tabela SecurityEvent.
      • Coletados usando o conector de Eventos de Segurança baseado no Agente do Azure Monitor para a tabela SecurityEvent.
      • Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
    • Relatado usando eventos de atividade de arquivo Sysmon (Eventos 11, 23 e 26):
      • Coletado usando o Log Analytics Agent para a tabela de eventos.
      • Coletado usando o conector WEF (Encaminhamento de Eventos do Windows) baseado no Agente do Azure Monitor para a tabela WindowsEvent.
    • Relatado pelo Microsoft Defender XDR para Endpoint, coletado usando o conector Microsoft Defender XDR.
  • Eventos do Microsoft Office 365 SharePoint e OneDrive, coletados usando o conector de atividade do Office.
  • Armazenamento do Azure, incluindo Blob, Arquivo, Fila e Armazenamento de Tabela.

Analisadores de sessão de rede

Os analisadores de sessão de rede ASIM estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:

Source Notas Analisador
Logs de sessão de rede normalizados Qualquer evento normalizado na ingestão à ASimNetworkSessionLogs mesa. O conector de Firewall para o Agente de Monitor do Azure usa a ASimNetworkSessionLogs tabela e é suportado _Im_NetworkSession_Native pelo analisador. _Im_NetworkSession_Native
AppGate SDP Logs de conexão IP coletados usando o Syslog. _Im_NetworkSession_AppGateSDPVxx
Logs da AWS VPC Coletado usando o conector do AWS S3. _Im_NetworkSession_AWSVPCVxx
Logs do Firewall do Azure _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection Coletado como parte da solução Azure Monitor VM Insights. _Im_NetworkSession_VMConnectionVxx
Logs do NSG (Grupos de Segurança de Rede) do Azure Coletado como parte da solução Azure Monitor VM Insights. _Im_NetworkSession_AzureNSGVxx
Ponto de verificação Firewall-1 Recolhido através do CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA Recolhido utilizando o conector CEF. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Coletado usando o conector Cisco Meraki API. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Coletado usando o conector Corelight Zeek. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS Logs de conexão IP coletados usando o Syslog. _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint Firewall _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR para Endpoint _Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender para microagente IoT _Im_NetworkSession_MD4IoTAgentVxx
Sensor Microsoft Defender para IoT _Im_NetworkSession_MD4IoTSensorVxx
Registros de tráfego do PanOS de Palo Alto Recolhido através do CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon para Linux (evento 3) Coletados usando o Log Analytics Agent
ou o Agente do Azure Monitor.
_Im_NetworkSession_LinuxSysmonVxx
Vectra AI Suporta o parâmetro pack . _Im_NetworkSession_VectraIAVxx
Logs do Firewall do Windows Coletados como eventos do Windows usando o Log Analytics Agent (tabela de eventos) ou o Azure Monitor Agent (tabela WindowsEvent). Suporta eventos do Windows 5150 a 5159. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Vigia FirewareOW Coletado usando Syslog. _Im_NetworkSession_WatchGuardFirewareOSVxx
Registos da firewall Zscaler ZIA Recolhido através do CEF. _Im_NetworkSessionZscalerZIAVxx

Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.

Analisadores de eventos de processo

Para usar analisadores de eventos de processo ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:

  • Criação do processo de Eventos de Segurança (Evento 4688), coletados usando o Agente do Log Analytics ou o Agente do Azure Monitor
  • Encerramento do processo de Eventos de Segurança (Evento 4689), coletados usando o Agente do Log Analytics ou o Agente do Azure Monitor
  • Criação do processo Sysmon (Evento 1), coletado usando o Log Analytics Agent ou o Azure Monitor Agent
  • Encerramento do processo Sysmon (Evento 5), coletado usando o Log Analytics Agent ou o Azure Monitor Agent
  • Criação do processo Microsoft Defender XDR for Endpoint

Analisadores de eventos do Registro

Para usar analisadores de eventos do Registro ASIM, implante os analisadores a partir do repositório GitHub do Microsoft Sentinel. O Microsoft Sentinel fornece os seguintes analisadores nos pacotes implantados a partir do GitHub:

  • Atualização do registo de Eventos de Segurança (Eventos 4657 e 4663), recolhida utilizando o Agente do Log Analytics ou o Agente do Azure Monitor
  • Eventos de monitoramento do Registro Sysmon (Eventos 12, 13 e 14), coletados usando o Log Analytics Agent ou o Azure Monitor Agent
  • Eventos de registo do Microsoft Defender XDR for Endpoint

Analisadores de sessão da Web

Os analisadores ASIM Web Session estão disponíveis em todos os espaços de trabalho. O Microsoft Sentinel fornece os seguintes analisadores prontos para uso:

Source Notas Analisador
Logs de sessão da Web normalizados Qualquer evento normalizado na ingestão à ASimWebSessionLogs mesa. _Im_WebSession_NativeVxx
Logs do IIS (Serviços de Informações da Internet) Coletado usando os conectores do IIS baseados no AMA ou no Log Analytics Agent. _Im_WebSession_IISVxx
Registos de ameaças do PanOS de Palo Alto Recolhido através do CEF. _Im_WebSession_PaloAltoCEFVxx
Proxy Lulas _Im_WebSession_SquidProxyVxx
Vectra AI Fluxos Suporta o parâmetro pack . _Im_WebSession_VectraAIVxx
Zscaler ZIA Recolhido através do CEF. _Im_WebSessionZscalerZIAVxx

Implante a versão dos analisadores implantados do espaço de trabalho a partir do repositório GitHub do Microsoft Sentinel.

Próximos passos

Saiba mais sobre os analisadores do ASIM:

Saiba mais sobre o ASIM: