Список средств синтаксического анализа расширенной информационной модели безопасности (ASIM) Microsoft Sentinel (общедоступная предварительная версия)
В этом документе представлен список средств синтаксического анализа расширенной информационной модели безопасности (ASIM). Общие сведения о средствах синтаксического анализа ASIM см. в этом обзоре. Чтобы понять, как средства синтаксического анализа вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Важно!
ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Средства синтаксического анализа событий аудита
Чтобы использовать средства синтаксического анализа событий аудита ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
| Источник | Примечания | Анализатора |
|---|---|---|
| События администрирования действий Azure | События действий Azure (в таблице) в AzureActivity категории Administrative. |
ASimAuditEventAzureActivity |
| Административные события Exchange 365 | События Exchange Администратор istrative, собранные с помощью соединителя Office 365 (в OfficeActivity таблице). |
ASimAuditEventMicrosoftOffice365 |
| Событие очистки журнала Windows | События Windows 1102 собираются с помощью соединителя событий безопасности агента Log Analytics или соединителей безопасности агента Azure Monitor и соединителей WEF (с помощью SecurityEventWindowsEventтаблиц или Event таблиц). |
ASimAuditEventMicrosoftWindowsEvents |
Средства синтаксического анализа проверки подлинности
Чтобы использовать средства синтаксического анализа проверки подлинности ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Входы Windows
- Собранные с помощью агента Log Analytics или агента Azure Monitor.
- Собранные с помощью соединителей событий безопасности в таблицу SecurityEvent или с помощью соединителя WEF в таблицу WindowsEvent.
- Сообщенные как события безопасности (4624, 4625, 4634 и 4647).
- сообщает microsoft Defender XDR для конечной точки, собранный с помощью соединителя XDR в Microsoft Defender.
- Входы в Linux
- сообщает microsoft Defender XDR для конечной точки, собранный с помощью соединителя XDR в Microsoft Defender.
su,suduиsshdдействие, сообщаемое с помощью системного журнала.- Передаваемые средством Microsoft Defender в конечную точку Интернета вещей.
- Входы Microsoft Entra, собранные с помощью соединителя Microsoft Entra. Предоставляются отдельные средства синтаксического анализа для разных типов входов: обычные, неинтерактивные, с управляемыми удостоверениями и с использованием субъектов-служб.
- Входы AWS, собираемые соединителем AWS CloudTrail.
- Проверка подлинности Okta, собираемая соединителем Okta.
- Журналы входа в PostgreSQL.
Средства синтаксического анализа DNS
Синтаксический анализ ASIM DNS доступен в каждой рабочей области. Microsoft Sentinel предоставляет следующие встроенные средства синтаксического анализа:
| Источник | Примечания | Анализатора |
|---|---|---|
| Нормализованные журналы DNS | Любое событие, нормализованное при приеме в таблицу ASimDnsActivityLogs. Соединитель DNS для агента Azure Monitor использует таблицу ASimDnsActivityLogs и поддерживается _Im_Dns_Native средством синтаксического анализа. |
_Im_Dns_Native |
| Брандмауэр Azure | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - BIND - BlucCat |
Одни и те же средства синтаксического анализа поддерживают несколько источников. | _Im_Dns_InfobloxNIOSVxx |
| DNS-сервер Microsoft | Собранные с помощью: — соединитель DNS для агента Log Analytics — соединитель DNS для агента Azure Monitor - NXlog |
_Im_Dns_MicrosoftOMSVxxСм. нормализованные журналы DNS. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon для Windows (событие 22) | Собранные с помощью: — агент Log Analytics — агент Azure Monitor Для обоих агентов оба собираются в Event поддерживаются таблицы WindowsEvent . |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Разверните развернутую версию средства синтаксического анализа рабочей области из репозитория Microsoft Sentinel GitHub.
Средства синтаксического анализа действий с файлами
Чтобы использовать средства синтаксического анализа действий файлов ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Действие файла Windows
- Сообщает Windows (событие 4663):
- Собирается с помощью соединителя событий безопасности на основе агента Log Analytics в таблицу SecurityEvent.
- Собирается с помощью соединителя событий безопасности на основе агента Azure Monitor в таблицу SecurityEvent.
- Собирается с помощью соединителя WEF на основе агента Azure Monitor (пересылка событий Windows) в таблицу WindowsEvent.
- Сообщается с помощью событий активности файлов Sysmon (события 11, 23 и 26):
- Собирается с помощью агента Log Analytics в таблицу событий.
- Собирается с помощью соединителя WEF на основе агента Azure Monitor (пересылка событий Windows) в таблицу WindowsEvent.
- Сообщает microsoft Defender XDR для конечной точки, собранный с помощью соединителя XDR в Microsoft Defender.
- Сообщает Windows (событие 4663):
- События Microsoft Office 365 SharePoint и OneDrive, которые собираются с помощью соединителя действий Office.
- Служба хранилища Azure (включая Хранилище BLOB-объектов, файлов, очередей и таблиц).
Средства синтаксического анализа сетевых сеансов
Средства синтаксического анализа сетевых сеансов ASIM доступны в каждой рабочей области. Microsoft Sentinel предоставляет следующие встроенные средства синтаксического анализа:
| Источник | Примечания | Анализатора |
|---|---|---|
| Нормализованные журналы сетевых сеансов | Любое событие, нормализованное при приеме в таблицу ASimNetworkSessionLogs. Соединитель брандмауэра для агента Azure Monitor использует таблицу ASimNetworkSessionLogs и поддерживается _Im_NetworkSession_Native средством синтаксического анализа. |
_Im_NetworkSession_Native |
| AppGate SDP | Журналы подключений по протоколу IP, собранные с помощью Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Журналы AWS VPC | Собранные с помощью соединителя AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| журналы Брандмауэр Azure | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Собранные в составе решения "Аналитика виртуальной машины" Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Журналы Azure Network Security Groups (NSG) | Собранные в составе решения "Аналитика виртуальной машины" Azure Monitor. | _Im_NetworkSession_AzureNSGVxx |
| Брандмауэр контрольных точек-1 | Собранные с помощью CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Собирается с помощью соединителя CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Собранные с помощью соединителя API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Собранные с помощью соединителя Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Журналы подключений по протоколу IP, собранные с помощью Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Брандмауэр ForcePoint | _Im_NetworkSession_ForcePointFirewallVxx |
|
| XDR в Microsoft Defender для конечной точки | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Микроагент Microsoft Defender для Интернета вещей | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Датчик Microsoft Defender для Интернета вещей | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Журналы трафика Palo Alto PanOS | Собранные с помощью CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon для Linux (событие 3) | Собранные с помощью агента Log Analytics или агентом Azure Monitor. |
_Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Поддерживает параметр пакета. | _Im_NetworkSession_VectraIAVxx |
| Журналы брандмауэра Windows | Собираются как события Windows с помощью агента Log Analytics (таблица событий) или агента Azure Monitor (таблица WindowsEvent). Поддерживает события Windows с 5150 до 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Собранные с помощью Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Журналы брандмауэра Zscaler ZIA | Собранные с помощью CEF. | _Im_NetworkSessionZscalerZIAVxx |
Разверните развернутую версию средства синтаксического анализа рабочей области из репозитория Microsoft Sentinel GitHub.
Средства синтаксического анализа событий процессов
Чтобы использовать средства синтаксического анализа событий ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Создание процессов событий безопасности (событие 4688), собранных с помощью агента Log Analytics или агента Azure Monitor
- Завершение процессов событий безопасности (событие 4689), собранных с помощью агента Log Analytics или агента Azure Monitor
- Создание процесса Sysmon (событие 1), события собраны с помощью агента Log Analytics или агента Azure Monitor
- Завершение процесса Sysmon (событие 5), события собраны с помощью агента Log Analytics или агента Azure Monitor
- Создание процесса XDR в Microsoft Defender для конечной точки
Средства синтаксического анализа событий реестра
Чтобы использовать средства синтаксического анализа событий реестра ASIM, разверните средства синтаксического анализа из репозитория Microsoft Sentinel GitHub. Microsoft Sentinel предоставляет следующие средства синтаксического анализа в пакетах, развернутых на сайте GitHub:
- Обновление реестра событий безопасности (события 4657 и 4663), собранные с помощью агента Log Analytics или агента Azure Monitor
- События отслеживания реестра Sysmon (события 12, 13 и 14), которые собираются с помощью агента Log Analytics или агента Azure Monitor
- События реестра конечных точек в Microsoft Defender XDR для конечных точек
Средства синтаксического анализа сетевых сеансов
Средства синтаксического анализа веб-сеансов ASIM доступны в каждой рабочей области. Microsoft Sentinel предоставляет следующие встроенные средства синтаксического анализа:
| Источник | Примечания | Анализатора |
|---|---|---|
| Нормализованные журналы веб-сеансов | Любое событие, нормализованное при приеме в таблицу ASimWebSessionLogs. |
_Im_WebSession_NativeVxx |
| Журналы службы IIS (IIS) | Собирается с помощью соединителей IIS на основе агента AMA или Log Analytics. | _Im_WebSession_IISVxx |
| Журналы угроз Palo Alto PanOS | Собранные с помощью CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Потоки Vectra AI | Поддерживает параметр пакета. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Собранные с помощью CEF. | _Im_WebSessionZscalerZIAVxx |
Разверните развернутую версию средства синтаксического анализа рабочей области из репозитория Microsoft Sentinel GitHub.
Следующие шаги
Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:
- Использование анализаторов ASIM
- Разработка пользовательских средств синтаксического анализа ASIM
- Управление анализаторами ASIM
Дополнительные сведения об ASIM.
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)