Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом документе представлен список средств синтаксического анализа расширенной информационной модели безопасности (ASIM). Общие сведения о средствах синтаксического анализа ASIM см. в этом обзоре. Чтобы понять, как средства синтаксического анализа вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Средства синтаксического анализа, в которых нет значения, Uses pack parameter не заполнены столбцом AdditionalFields .
Синтаксический анализ событий оповещений
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR события оповещения (в таблице AlertEvidence). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | События угроз SentinelOne Singularity (в SentinelOne_CL таблице). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Средства синтаксического анализа событий аудита
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы событий аудита | Любое событие, нормализованное при приеме в таблицу ASimAuditEventLogs. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | События аудита AWS CloudTrail. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| действие Azure | события действия Azure (в таблице AzureActivity) в категории Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | События аудита Azure Key Vault. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | События Barracuda, собранные с помощью CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | События Barracuda WAF. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | События Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | События Cisco Meraki, собранные с помощью соединителя API или Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | События Cisco Meraki, собранные в таблицу Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| КраудСтрик Сокол | Хуудрейк Сокол хост-события. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | События Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | События Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| События Майкрософт | события аудита Windows, собранные в таблице Event |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | События администрирования Exchange, собранные с помощью соединителя Office 365 (в таблице OfficeActivity). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| События безопасности Майкрософт | Windows событие 1102, собираемое с помощью агента Azure Monitor (с помощью таблиц SecurityEvent). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| События Microsoft Windows | Windows событие 1102, собираемое с помощью агента Azure Monitor (с помощью таблиц WindowsEvent). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | События SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | События аудита Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | События VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Средства синтаксического анализа проверки подлинности
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы проверки подлинности | Любое событие, нормализованное при приеме в таблицу ASimAuthenticationEventLogs. |
_Im_Authentication_Native |
|
| AWS CloudTrail | Входы AWS, собранные с помощью соединителя AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | События Barracuda WAF. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | События Cisco ASA, собранные с помощью CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | События Cisco ISE. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | События Cisco Meraki, собранные с помощью соединителя API или Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | События Cisco Meraki, собранные в таблицу Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| КраудСтрик Сокол | Хуудрейк Сокол хост-события. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Журналы системного администратора Fortigate fortigate. | _Im_Authentication_FortigateVxx |
|
| Рабочая область Google | Входы в Рабочую область Google. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | События Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender для Интернета вещей | Microsoft Defender for IoT события проверки подлинности. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR для входа в конечные точки для Windows и Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Идентификатор Microsoft Entra | Microsoft Entra ID входов, собранных с помощью соединителя Microsoft Entra для обычных входов. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (не interative) | Microsoft Entra ID входы, собранные с помощью соединителя Microsoft Entra для входа, неактивного. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (управляемые удостоверения) | Microsoft Entra ID входов, собранных с помощью соединителя Microsoft Entra для входа в управляемые удостоверения. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (субъект-служба) | Microsoft Entra ID входов, собранных с помощью соединителя Microsoft Entra для входа субъекта-службы. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| События Microsoft Windows | Windows входа (события 4624, 4625, 4634, 4647), собранные с помощью агента Azure Monitor или агента Log Analytics в таблицы SecurityEvent или WindowsEvent. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Проверка подлинности Okta, собранная с помощью соединителя Okta (единый вход версии 1). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Проверка подлинности Okta, собранная с помощью соединителя Okta (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Проверка подлинности Okta, собранная с помощью таблицы OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Озеро данных Palo Alto Cortex | Palo Alto Cortex Data Lake события. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | Журналы входа PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Облако службы Salesforce | События Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | События SentinelOne. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Действие sshd Linux, сообщаемое с помощью системного журнала. | _Im_Authentication_SshdVxx |
|
| Linux Su | Действие su Linux, сообщаемое с помощью системного журнала. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Действие sudo Linux, сообщаемое с помощью системного журнала. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | События аудита Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | События VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Средства синтаксического анализа событий DHCP
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы событий DHCP | Любое событие, нормализованное при приеме в таблицу ASimDhcpEventLogs. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | События DHCP Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
Средства синтаксического анализа DNS
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы DNS | Любое событие, нормализованное при приеме в таблицу ASimDnsActivityLogs. Соединитель DNS для агента Azure Monitor использует таблицу ASimDnsActivityLogs. |
_Im_Dns_Native |
|
| Брандмауэр Azure | Azure Firewall журналы DNS. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Журналы Cisco Umbrella DNS. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Журналы Corelight Zeek DNS. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Журналы DNS FortiGate fortiGate. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Журналы DNS Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | События DNS Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS, BIND и DNS-серверы BlueCat. Один и тот же средство синтаксического анализа поддерживает несколько источников. | _Im_Dns_InfobloxNIOSVxx |
|
| DNS-сервер Microsoft | Собирается с помощью соединителя DNS для агента Log Analytics (устаревшая версия). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS-сервер, собранный с помощью NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon для Windows (событие) | События DNS sysmon (событие 22), собранные с помощью агента Azure Monitor или агента Log Analytics (устаревшей версии) в таблицу Event. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon для Windows (WindowsEvent) | События DNS sysmon (событие 22), собранные с помощью агента Azure Monitor или агента Log Analytics (устаревшей версии) в таблицу WindowsEvent. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | События DNS SentinelOne. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | События DNS vectra AI. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Журналы Zscaler ZIA DNS. | _Im_Dns_ZscalerZIAVxx |
Средства синтаксического анализа действий с файлами
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы событий файла | Любое событие, нормализованное при приеме в таблицу ASimFileEventLogs. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | События файла AWS CloudTrail. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Хранилище BLOB-объектов Azure | Azure Blob Storage события файлов. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Azure хранилище файлов | Azure события хранилища файлов. | _Im_FileEvent_AzureFileStorageVxx |
|
| Хранилище очередей Azure | события Azure Queue Storage. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Хранилище таблиц Azure | Azure Table Storage события. | _Im_FileEvent_AzureTableStorageVxx |
|
| Рабочая область Google | События файла рабочей области Google. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Системная система Linux (созданные события) | Sysmon для файла Linux, созданные события (события 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Системная система Linux (удаленные события) | Sysmon для удаленных событий файла Linux (события 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR для событий файлов конечной точки. | _Im_FileEvent_Microsoft365DVxx |
|
| События безопасности Майкрософт | Windows события файлов (событие 4663), собранные с помощью соединителя событий безопасности. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | События Microsoft Office 365 SharePoint и OneDrive, собранные с помощью соединителя действий Office. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon для Windows (событие) | Sysmon для событий Windows файлов (События 11, 23, 26), собранных в таблицу Event. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon для Windows (WindowsEvent) | Sysmon для событий Windows файлов (События 11, 23, 26), собранных в таблицу WindowsEvent. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| События Microsoft Windows | Windows события файла (событие 4663), собранные в таблицу WindowsEvent. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | События файла SentinelOne. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | События файла VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Средства синтаксического анализа сетевых сеансов
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы сетевых сеансов | Любое событие, нормализованное при приеме в таблицу ASimNetworkSessionLogs. Соединитель брандмауэра для агента Azure Monitor использует эту таблицу. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Журналы подключений по протоколу IP, собранные с помощью Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| Журналы AWS VPC | Собранные с помощью соединителя AWS S3. | _Im_NetworkSession_AWSVPCVxx |
|
| Брандмауэр Azure | Azure Firewall сетевые журналы. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Группа безопасности Сети Azure | Azure журналы потоков групп безопасности сети. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Monitor VMConnection | Собирается в рамках решения Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | События Barracuda, собранные с помощью CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | События Barracuda WAF. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Брандмауэр контрольной точки | События брандмауэра контрольной точки, собранные с помощью CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | События Cisco ASA, собранные с помощью CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | События Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | События Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | События Cisco Meraki, собранные с помощью соединителя API или Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | События Cisco Meraki, собранные в таблицу Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | События сети Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
|
| КраудСтрик Сокол | Хуудрейк Сокол хост-события. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| Брандмауэр ForcePoint | События брандмауэра ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | События брандмауэра FortiGate fortiGate, собранные с помощью системного журнала. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | События Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender for IoT (агент) | Microsoft Defender for IoT события микроагента. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT (датчик) | Microsoft Defender for IoT события микро датчика. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR для событий сети конечной точки. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon для Linux | Sysmon для сетевых событий Linux (событие 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon для Windows (событие) | Sysmon для событий сети Windows (событие 3), собранных в таблицу Event. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon для Windows (WindowsEvent) | Sysmon для событий сети Windows (событие 3), собранных в таблицу WindowsEvent. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Брандмауэр | Windows события брандмауэра (события 5150-5159), собранные с помощью агента Azure Monitor или агента Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Брандмауэр событийMicrosoft Windows Security | Windows события брандмауэра, собранные с помощью соединителя событий безопасности. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | События аналитики сетевого трафика. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Журналы трафика Palo Alto PanOS, собранные с помощью CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Озеро данных Palo Alto Cortex | Palo Alto Cortex Data Lake события. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | События сети SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
|
| Брандмауэр SonicWall | События брандмауэра SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | События сети Vectra AI. Поддерживает параметр пакета. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | Сетевые события VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | События WatchGuard Fireware OS, собранные с помощью системного журнала. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Журналы брандмауэра Zscaler ZIA, собранные с помощью CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Средства синтаксического анализа событий процессов
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы событий процесса | Любое событие, нормализованное при приеме в таблицу ASimProcessEventLogs. |
_Im_ProcessEvent_Native |
|
| Системная система Linux (создание) | События создания процессов Sysmon для Linux (события 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Системная система Linux (завершение) | События завершения процесса Sysmon для Linux (события 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender для Интернета вещей | Microsoft Defender for IoT события процесса. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR для событий обработки конечной точки. | _Im_ProcessEvent_Microsoft365DVxx |
|
| События безопасности Майкрософт (создание) | события создания процесса событий Windows Security (события 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| События безопасности Майкрософт (завершение) | события завершения процесса событий Windows Security (события 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon для Windows (create) | Sysmon для событий процесса Windows (событие 1), собранных в таблицы Event. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon для Windows (завершение) | Sysmon для событий процесса Windows (событие 5), собранных в таблицы Event. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| События Microsoft Windows (создание) | Windows события процесса (событие 4688), собранные в таблицу WindowsEvent. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows события (завершение) | события процесса Windows (событие 4689), собранные в таблицу WindowsEvent. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | События процесса SentinelOne. | _Im_ProcessCreate_SentinelOneVxx |
|
| Тренд микрозрения One | События процесса Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Create) | События создания процесса создания процесса VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| Облако VMware Carbon Black Cloud (завершение) | События завершения процесса VMware Carbon Black Cloud. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Средства синтаксического анализа событий реестра
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы событий реестра | Любое событие, нормализованное при приеме в таблицу ASimRegistryEventLogs. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR для событий реестра конечных точек. | _Im_RegistryEvent_Microsoft365DVxx |
|
| События безопасности Майкрософт | события реестра событий Windows Security (события 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon для Windows | Системная программа для событий реестра Windows (события 12, 13, 14), собранных в таблицы Event или WindowsEvent. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| События Microsoft Windows | Windows события реестра, собранные в таблицу WindowsEvent. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | События реестра SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
|
| Тренд микрозрения One | События реестра Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | События реестра VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Средства синтаксического анализа управления пользователями
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы управления пользователями | Любое событие, нормализованное при приеме в таблицу ASimUserManagementLogs. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | События управления пользователями AWS CloudTrail. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | События управления пользователями Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | События управления пользователями в Linux authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
|
| События безопасности Майкрософт | события управления пользователями Windows Security. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| События Microsoft Windows | Windows события управления пользователями, собранные в таблицу WindowsEvent. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | События управления пользователями SentinelOne. | _Im_UserManagement_SentinelOneVxx |
false |
Средства синтаксического анализа сетевых сеансов
| Источник | Примечания | Синтаксический анализатор | Использует параметр пакета |
|---|---|---|---|
| Нормализованные журналы веб-сеансов | Любое событие, нормализованное при приеме в таблицу ASimWebSessionLogs. |
_Im_WebSession_Native |
|
| HTTP-сервер Apache | Журналы Apache HTTP Server. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Брандмауэр Azure | Azure Firewall журналы веб-сеансов. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | События Barracuda, собранные с помощью CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | События Barracuda WAF. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Веб-события Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Веб-события Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Веб-события Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | Веб-события F5 ASM. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Журналы веб-сеансов FortiGate fortiGate. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Интернет-информационные службы (IIS) | Журналы IIS, собранные с помощью агента Azure Monitor или агента Log Analytics. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Журналы угроз Palo Alto PanOS, собранные с помощью CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Озеро данных Palo Alto Cortex | Palo Alto Cortex Data Lake события. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| Брандмауэр SonicWall | Веб-события брандмауэра SonicWall. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Прокси-сервер Squid | Веб-журналы прокси-сервера Squid. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Веб-события Vectra AI. Поддерживает параметр пакета. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Веб-журналы Zscaler ZIA, собранные с помощью CEF. | _Im_WebSession_ZscalerZIAVxx |
Следующие шаги
Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:
- Использование анализаторов ASIM
- Разработка пользовательских анализаторов ASIM
- Управление средствами синтаксического анализа ASIM
Дополнительные сведения об ASIM.
- Просмотрите вебинар Deep Dive Webinar на Microsoft Sentinel нормализации синтаксического анализа и нормализованного содержимого или просмотрите lides
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)