Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este documento fornece uma lista de analisadores do Modelo de Informação de Segurança Avançada (ASIM). Para obter uma descrição geral dos analisadores do ASIM, veja a descrição geral dos analisadores. Para compreender como os analisadores se encaixam na arquitetura ASIM, veja o diagrama de arquitetura ASIM.
Os analisadores que não têm um valor em Uses pack parameter não têm a AdditionalFields coluna preenchida.
Analisadores de Eventos de Alerta
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR eventos de alerta (na AlertEvidence tabela). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | SentinelOne Singularity threat events (na SentinelOne_CL tabela). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Auditar analisadores de Eventos
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Eventos de Auditoria Normalizados | Qualquer evento normalizado na ingestão para a ASimAuditEventLogs tabela. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | Eventos de auditoria do CloudTrail do AWS. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Atividade Azure | Azure Eventos de atividade (na AzureActivity tabela) na categoria Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault eventos de auditoria. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Eventos barracuda recolhidos através do CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF events. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Eventos cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Eventos Cisco Meraki recolhidos com o conector da API ou o Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Eventos cisco Meraki recolhidos para a tabela Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host eventos. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Núcleo De SaaS illumio | Eventos illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Eventos BloxOne do Infoblox. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | Eventos de Auditoria do Windows recolhidos na Event tabela |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Eventos administrativos do Exchange recolhidos com o conector Office 365 (na OfficeActivity tabela). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Eventos de Segurança da Microsoft | Evento 1102 do Windows recolhido com Azure Agente do Monitor (utilizando as SecurityEvent tabelas). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Eventos do Microsoft Windows | Evento 1102 do Windows recolhido com Azure Agente do Monitor (utilizando as WindowsEvent tabelas). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Eventos SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Eventos de auditoria vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Eventos da VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Analisadores de autenticação
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Autenticação Normalizados | Qualquer evento normalizado na ingestão para a ASimAuthenticationEventLogs tabela. |
_Im_Authentication_Native |
|
| AWS CloudTrail | Inícios de sessão do AWS, recolhidos com o conector AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF events. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Eventos cisco ASA recolhidos através do CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Eventos cisco ISE. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Eventos Cisco Meraki recolhidos com o conector da API ou o Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Eventos cisco Meraki recolhidos para a tabela Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Host eventos. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Registos de administrador do sistema Fortinet Fortigate. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Inícios de sessão no Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Núcleo De SaaS illumio | Eventos illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender para IoT | Microsoft Defender para eventos de autenticação IoT. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para inícios de sessão de Ponto final para Windows e Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID inícios de sessão, recolhidos com o conector Microsoft Entra para inícios de sessão regulares. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (Não Interativa) | Microsoft Entra ID inícios de sessão, recolhidos com o conector Microsoft Entra para inícios de sessão não interativos. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (Identidades Geridas) | Microsoft Entra ID inícios de sessão, recolhidos com o conector Microsoft Entra para inícios de sessão de Identidades Geridas. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (Principal de Serviço) | Microsoft Entra ID inícios de sessão, recolhidos com o conector Microsoft Entra para inícios de sessão do Principal de Serviço. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Eventos do Microsoft Windows | Inícios de sessão do Windows (Eventos 4624, 4625, 4634, 4647) recolhidos com Azure Agente do Monitor ou o Agente do Log Analytics nas SecurityEvent tabelas ou WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Autenticação okta, recolhida com o conector Okta (SSO V1). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Autenticação okta, recolhida com o conector Okta (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Autenticação okta, recolhida através da tabela OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Lago de Dados Palo Alto Cortex | Palo Alto Cortex Data Lake events. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | Registos de início de sessão do PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Serviço Cloud do Salesforce | Eventos da Cloud do Serviço Salesforce. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | Eventos SentinelOne. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux atividade sshd comunicada com o Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux atividade su comunicada com o Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux atividade sudo comunicada com o Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Eventos de auditoria vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Eventos da VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analisadores de Eventos DHCP
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Eventos DHCP normalizados | Qualquer evento normalizado na ingestão para a ASimDhcpEventLogs tabela. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Eventos DHCP do BloxOne do Infoblox. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
Analisadores de DNS
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos DNS normalizados | Qualquer evento normalizado na ingestão para a ASimDnsActivityLogs tabela. O conector DNS do Agente Azure Monitor utiliza a ASimDnsActivityLogs tabela. |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall registos DNS. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Registos DNS da Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Registos DNS do Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Registos DNS fortinet FortiGate. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Registos DNS do Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Eventos DNS BloxOne do Infoblox. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS, BIND e servidores DNS BlueCat. O mesmo analisador suporta várias origens. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Recolhido através do conector DNS para o Agente do Log Analytics (legado). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Servidor DNS da Microsoft recolhido através do NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon para Windows (Evento) | Eventos DNS do Sysmon (Evento 22) recolhidos com Azure Agente do Monitor ou o Agente do Log Analytics (legado) para a Event tabela. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (WindowsEvent) | Eventos DNS do Sysmon (Evento 22) recolhidos com Azure Agente do Monitor ou o Agente do Log Analytics (legado) para a WindowsEvent tabela. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS events. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Vectra AI DNS events. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Registos DNS do Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analisadores de Atividade de Ficheiros
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Eventos de Ficheiro normalizados | Qualquer evento normalizado na ingestão para a ASimFileEventLogs tabela. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | Eventos de ficheiroS CloudTrail do AWS. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Armazenamento de Blobs do Azure | Armazenamento de Blobs do Azure eventos de ficheiro. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Armazenamento de Ficheiros Azure | Azure eventos de Armazenamento de Ficheiros. | _Im_FileEvent_AzureFileStorageVxx |
|
| Armazenamento de Filas de Azure | Azure eventos de Armazenamento de Filas. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Armazenamento de Tabelas Azure | Azure eventos de Armazenamento de Tabelas. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Eventos de ficheiros do Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (Eventos Criados) | Sysmon para Linux eventos criados por ficheiros (Eventos 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (Eventos Eliminados) | Sysmon para Linux eventos eliminados de ficheiros (Eventos 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de ficheiros de Ponto final. | _Im_FileEvent_Microsoft365DVxx |
|
| Eventos de Segurança da Microsoft | Eventos de ficheiros do Windows (Evento 4663) recolhidos com o conector Eventos de Segurança. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 eventos do SharePoint e do OneDrive, recolhidos com o conector atividade do Office. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon para Windows (Evento) | Sysmon para eventos de ficheiros do Windows (Eventos 11, 23, 26) recolhidos na Event tabela. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (WindowsEvent) | Sysmon para eventos de ficheiros do Windows (Eventos 11, 23, 26) recolhidos na WindowsEvent tabela. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Eventos do Microsoft Windows | Eventos de ficheiros do Windows (Evento 4663) recolhidos na WindowsEvent tabela. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelUm evento de ficheiro. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | Eventos de ficheiroS VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Analisadores de Sessões de Rede
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Sessões de Rede Normalizados | Qualquer evento normalizado na ingestão para a ASimNetworkSessionLogs tabela. O conector da Firewall para o Agente do Monitor do Azure utiliza esta tabela. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Registos de ligação ip recolhidos com o Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| Registos VPC do AWS | Recolhido com o conector AWS S3. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall registos de rede. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure registos de fluxo dos Grupos de Segurança de Rede. | _Im_NetworkSession_AzureNSGVxx |
|
| VMConnection do Azure Monitor | Recolhido como parte da solução informações da VM do Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Eventos barracuda recolhidos através do CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF events. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Firewall do Ponto de Verificação | Eventos de Firewall de Ponto de Verificação recolhidos com o CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Eventos cisco ASA recolhidos através do CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Eventos cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Eventos cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Eventos Cisco Meraki recolhidos com o conector da API ou o Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Eventos cisco Meraki recolhidos para a tabela Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Eventos de rede do Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host eventos. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint Firewall | Eventos da Firewall do ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Eventos de firewall fortinet FortiGate recolhidos com o Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Núcleo De SaaS illumio | Eventos illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender para IoT (Agente) | Microsoft Defender para eventos de micro agente IoT. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender para IoT (Sensor) | Microsoft Defender para eventos de micro sensor IoT. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de rede de Ponto Final. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon para Linux | Sysmon para Linux eventos de rede (Evento 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon para Windows (Evento) | Sysmon para eventos de rede do Windows (Evento 3) recolhidos na Event tabela. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (WindowsEvent) | Sysmon para eventos de rede do Windows (Evento 3) recolhidos na WindowsEvent tabela. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Firewall | Eventos da Firewall do Windows (Eventos 5150-5159) recolhidos com o Agente do Azure Monitor ou o Agente do Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Firewall de Eventos do Microsoft Segurança do Windows | Eventos da Firewall do Windows recolhidos através do conector de Eventos de Segurança. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Eventos de Análise de Tráfego de Rede. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Registos de tráfego da Palo Alto PanOS recolhidos através do CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Lago de Dados Palo Alto Cortex | Palo Alto Cortex Data Lake events. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelUm eventos de rede. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | Eventos da Firewall de SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Eventos de rede vectra AI. Suporta o parâmetro do pacote. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | Eventos de rede da VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | Veja Os eventos do SO Do Fireware do WatchGuard recolhidos com o Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Registos de firewall do Zscaler ZIA recolhidos com o CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analisar Eventos de Processo
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Eventos do Processo Normalizado | Qualquer evento normalizado na ingestão para a ASimProcessEventLogs tabela. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Criar) | Sysmon para Linux eventos de criação de processos (Eventos 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Terminar) | Sysmon para Linux eventos de terminação do processo (Eventos 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender para IoT | Microsoft Defender para eventos do processo IoT. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos do processo de Ponto final. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Eventos de Segurança da Microsoft (Criar) | Segurança do Windows eventos de criação do processo de Eventos (Eventos 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Eventos de Segurança da Microsoft (Terminar) | Segurança do Windows Eventos processam eventos de terminação (Eventos 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon para Windows (Criar) | Sysmon para eventos de processo do Windows (Evento 1) recolhidos nas Event tabelas. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (Terminar) | Sysmon para eventos de processo do Windows (Evento 5) recolhidos nas Event tabelas. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Eventos do Microsoft Windows (Criar) | Eventos de processo do Windows (Evento 4688) recolhidos na WindowsEvent tabela. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Eventos do Microsoft Windows (Terminar) | Eventos de processo do Windows (Evento 4689) recolhidos na WindowsEvent tabela. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne processe eventos. | _Im_ProcessCreate_SentinelOneVxx |
|
| Tendência Micro Visão 1 | Tendência – Eventos de processo do Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Criar) | Eventos de criação do processo VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Terminar) | Eventos de terminação do processo da VMware Carbon Black Cloud. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Analisadores de Eventos de Registo
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Eventos do Registo Normalizados | Qualquer evento normalizado na ingestão para a ASimRegistryEventLogs tabela. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de registo de Ponto Final. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Eventos de Segurança da Microsoft | Segurança do Windows eventos de registo de Eventos (Eventos 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon para Windows | Sysmon para eventos de registo do Windows (Eventos 12, 13, 14) recolhidos nas Event tabelas ou WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Eventos do Microsoft Windows | Eventos de registo do Windows recolhidos para a WindowsEvent tabela. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne registry events. | _Im_RegistryEvent_SentinelOneVxx |
|
| Tendência Micro Visão 1 | Tendência Eventos de registo do Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | Eventos de registo do VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Analisadores de Gestão de Utilizadores
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Gestão de Utilizadores Normalizados | Qualquer evento normalizado na ingestão para a ASimUserManagementLogs tabela. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | Eventos de gestão de utilizadores do CloudTrail do AWS. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Eventos de gestão de utilizadores do Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux eventos de gestão de utilizadores authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Eventos de Segurança da Microsoft | Segurança do Windows eventos de gestão de utilizadores de Eventos. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Eventos do Microsoft Windows | Eventos de gestão de utilizadores do Windows recolhidos para a WindowsEvent tabela. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelUm evento de gestão de utilizadores. | _Im_UserManagement_SentinelOneVxx |
false |
Analisadores de Sessões Web
| Source (Origem) | Notas | Analisador | Utiliza o parâmetro do pacote |
|---|---|---|---|
| Registos de Sessões Web Normalizados | Qualquer evento normalizado na ingestão para a ASimWebSessionLogs tabela. |
_Im_WebSession_Native |
|
| Apache HTTP Server | Registos do Apache HTTP Server. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall registos de sessões Web. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Eventos barracuda recolhidos através do CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF events. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Eventos Web cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki web events. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Eventos Web citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | Eventos Web do ASM F5. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Registos de sessões Web Fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Serviços de Informação Internet (IIS) | Registos do IIS recolhidos com o Agente do Azure Monitor ou o Agente do Log Analytics. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Registos de ameaças do Palo Alto PanOS recolhidos com o CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Lago de Dados Palo Alto Cortex | Palo Alto Cortex Data Lake events. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | Eventos Web da Firewall de SonicWall. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Proxy de Lulas | Registos Web do Proxy de Lulas. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI web events. Suporta o parâmetro do pacote. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Registos Web do Zscaler ZIA recolhidos com o CEF. | _Im_WebSession_ZscalerZIAVxx |
Passos seguintes
Saiba mais sobre os analisadores do ASIM:
Saiba mais sobre o ASIM:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)