Lista över ASIM-parsare (Advanced Security Information Model) i Microsoft Sentinel (offentlig förhandsversion)

  • Artikel

Det här dokumentet innehåller en lista över ASIM-parsare (Advanced Security Information Model). En översikt över ASIM-parsare finns i översikten över parsare. Information om hur parsers passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Viktigt!

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Granska händelseparsers

Om du vill använda ASIM-granskningshändelseparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

Source Anteckningar Parser
Administrativa händelser för Azure Activity Azure Activity-händelser (i AzureActivity tabellen) i kategorin Administrative. ASimAuditEventAzureActivity
Administrativa händelser i Exchange 365 Exchange Administrativa händelser som samlas in med hjälp av Office 365-anslutningsappen OfficeActivity (i tabellen). ASimAuditEventMicrosoftOffice365
Rensa händelse för Windows-logg Windows Event 1102 samlas in med hjälp av Log Analytics-agentens security events-anslutningsprogram eller Azure Monitor-agentens säkerhetshändelser och WEF-anslutningsappar (med hjälp av tabellerna SecurityEvent, WindowsEventeller Event ). ASimAuditEventMicrosoftWindowsEvents

Parsare för autentisering

Om du vill använda ASIM-autentiseringsparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

  • Windows-inloggningar
    • Samlas in med Log Analytics-agenten eller Azure Monitor-agenten.
    • Samlas in med hjälp av antingen anslutningsprogram för säkerhetshändelser till tabellen SecurityEvent eller med hjälp av WEF-anslutningsappen till WindowsEvent-tabellen.
    • Rapporteras som säkerhetshändelser (4624, 4625, 4634 och 4647).
    • rapporteras av Microsoft Defender XDR för Endpoint, som samlats in med hjälp av Microsoft Defender XDR-anslutningsappen.
  • Linux-inloggningar
    • rapporteras av Microsoft Defender XDR för Endpoint, som samlats in med hjälp av Microsoft Defender XDR-anslutningsappen.
    • su, suduoch sshd aktivitet som rapporterats med syslog.
    • rapporteras av Microsoft Defender till IoT Endpoint.
  • Microsoft Entra-inloggningar som samlas in med hjälp av Microsoft Entra-anslutningsappen. Separata parsers tillhandahålls för vanliga, icke-interaktiva, hanterade identiteter och tjänstprinciper inloggningar.
  • AWS-inloggningar som samlas in med hjälp av AWS CloudTrail-anslutningsprogrammet.
  • Okta-autentisering, som samlas in med okta-anslutningsappen.
  • PostgreSQL-inloggningsloggar .

DNS-parsare

ASIM DNS-parsare är tillgängliga på varje arbetsyta. Microsoft Sentinel tillhandahåller följande färdiga parsers:

Source Anteckningar Parser
Normaliserade DNS-loggar Alla händelser normaliserades vid inmatning till ASimDnsActivityLogs tabellen. DNS-anslutningsappen för Azure Monitor-agenten ASimDnsActivityLogs använder tabellen och stöds av _Im_Dns_Native parsern. _Im_Dns_Native
Azure Firewall _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BIND
- BlucCat		 Samma parser stöder flera källor. _Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server Samlas in med:
– DNS-anslutningsprogram för Log Analytics-agenten
– DNS-anslutningsprogram för Azure Monitor-agenten
- NXlog
_Im_Dns_MicrosoftOMSVxx
Se Normaliserade DNS-loggar.
_Im_Dns_MicrosoftNXlogVxx
Sysmon för Windows (händelse 22) Samlas in med:
– Log Analytics-agenten
– Azure Monitor-agenten

För båda agenterna samlar båda in till
Event och WindowsEvent tabeller stöds.		 _Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Distribuera arbetsytans distribuerade parsers-version från Microsoft Sentinel GitHub-lagringsplatsen.

Filaktivitetsparsers

Om du vill använda ASIM-filaktivitetsparsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

  • Windows-filaktivitet
    • Rapporterat av Windows (händelse 4663):
      • Samlas in med log analytics-agentens baserade anslutningsprogram för säkerhetshändelser till tabellen SecurityEvent.
      • Samlas in med hjälp av Azure Monitor Agent-baserad anslutningsapp för säkerhetshändelser till tabellen SecurityEvent.
      • Samlas in med hjälp av Azure Monitor Agent-baserad WEF-anslutning (Windows Händelsevidarebefordring) till WindowsEvent-tabellen.
    • Rapporterade med sysmon-filaktivitetshändelser (händelser 11, 23 och 26):
      • Samlas in med Log Analytics-agenten i tabellen Händelse.
      • Samlas in med hjälp av Azure Monitor Agent-baserad WEF-anslutning (Windows Händelsevidarebefordring) till WindowsEvent-tabellen.
    • Rapporteras av Microsoft Defender XDR för Endpoint och samlas in med hjälp av Microsoft Defender XDR-anslutningsappen.
  • Microsoft Office 365 SharePoint- och OneDrive-händelser som samlas in med hjälp av Anslutningsappen för Office-aktivitet.
  • Azure Storage, inklusive Blob, File, Queue och Table Storage.

Parsare för nätverkssession

ASIM-nätverkssessionsparsers är tillgängliga på varje arbetsyta. Microsoft Sentinel tillhandahåller följande färdiga parsers:

Source Anteckningar Parser
Normaliserade nätverkssessionsloggar Alla händelser normaliserades vid inmatning till ASimNetworkSessionLogs tabellen. Brandväggsanslutningsappen för Azure Monitor-agenten ASimNetworkSessionLogs använder tabellen och stöds av _Im_NetworkSession_Native parsern. _Im_NetworkSession_Native
AppGate SDP IP-anslutningsloggar som samlas in med Syslog. _Im_NetworkSession_AppGateSDPVxx
AWS VPC-loggar Samlas in med hjälp av AWS S3-anslutningsappen. _Im_NetworkSession_AWSVPCVxx
Azure Firewall-loggar _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VM Anslut ion Samlas in som en del av Azure Monitor VM Insights-lösningen. _Im_NetworkSession_VMConnectionVxx
Loggar för Azure Network Security Groups (NSG) Samlas in som en del av Azure Monitor VM Insights-lösningen. _Im_NetworkSession_AzureNSGVxx
Checkpoint Firewall-1 Samlas in med CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA Samlas in med hjälp av CEF-anslutningsappen. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Samlas in med Cisco Meraki API-anslutningsappen. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Samlas in med Corelight Zeek-anslutningsappen. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS IP-anslutningsloggar som samlas in med Syslog. _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint-brandvägg _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR för Endpoint _Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender för IoT-mikroagent _Im_NetworkSession_MD4IoTAgentVxx
Microsoft Defender för IoT-sensor _Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS-trafikloggar Samlas in med CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon för Linux (händelse 3) Samlas in med Log Analytics-agenten
eller Azure Monitor-agenten.		 _Im_NetworkSession_LinuxSysmonVxx
Vectra AI Stöder packparametern. _Im_NetworkSession_VectraIAVxx
Windows-brandväggsloggar Samlas in som Windows-händelser med hjälp av Log Analytics Agent (händelsetabell) eller Azure Monitor Agent (WindowsEvent-tabell). Stöder Windows-händelser 5150 till 5159. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW Samlas in med Syslog. _Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA-brandväggsloggar Samlas in med CEF. _Im_NetworkSessionZscalerZIAVxx

Distribuera arbetsytans distribuerade parsers-version från Microsoft Sentinel GitHub-lagringsplatsen.

Bearbeta händelseparsers

Om du vill använda ASIM Process Event-parsare distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

  • Skapande av säkerhetshändelser (händelse 4688), som samlas in med Log Analytics-agenten eller Azure Monitor-agenten
  • Avslutning av säkerhetshändelser (händelse 4689), som samlas in med Hjälp av Log Analytics-agenten eller Azure Monitor-agenten
  • Skapande av sysmonprocess (händelse 1) som samlas in med Log Analytics-agenten eller Azure Monitor-agenten
  • Sysmon-processavslut (händelse 5), som samlas in med Log Analytics-agenten eller Azure Monitor-agenten
  • Microsoft Defender XDR för skapande av slutpunktsprocess

Registerhändelseparsers

Om du vill använda ASIM Registry Event-parsers distribuerar du parsarna från Microsoft Sentinel GitHub-lagringsplatsen. Microsoft Sentinel tillhandahåller följande parsers i paketen som distribueras från GitHub:

  • Registeruppdatering för Säkerhetshändelser (händelser 4657 och 4663) som samlas in med Log Analytics-agenten eller Azure Monitor-agenten
  • Sysmon-registerövervakningshändelser (händelser 12, 13 och 14) som samlas in med Log Analytics-agenten eller Azure Monitor-agenten
  • Microsoft Defender XDR för Endpoint-registerhändelser

Webbsessionsparsers

ASIM-webbsessionsparsers är tillgängliga på varje arbetsyta. Microsoft Sentinel tillhandahåller följande färdiga parsers:

Source Anteckningar Parser
Normaliserade webbsessionsloggar Alla händelser normaliserades vid inmatning till ASimWebSessionLogs tabellen. _Im_WebSession_NativeVxx
IIS-loggar (Internet Information Services) Samlas in med hjälp av AMA- eller Log Analytics Agent-baserade IIS-anslutningsappar. _Im_WebSession_IISVxx
Palo Alto PanOS-hotloggar Samlas in med CEF. _Im_WebSession_PaloAltoCEFVxx
Bläckfiskproxy _Im_WebSession_SquidProxyVxx
Vectra AI-Flöden Stöder packparametern. _Im_WebSession_VectraAIVxx
Zscaler ZIA Samlas in med CEF. _Im_WebSessionZscalerZIAVxx

Distribuera arbetsytans distribuerade parsers-version från Microsoft Sentinel GitHub-lagringsplatsen.

Nästa steg

Läs mer om ASIM-parsers:

Läs mer om ASIM: