Microsoft Sentinel 進階安全性資訊模型 (ASIM) 剖析器列表 (公開預覽)

本檔提供進階安全性資訊模型 (ASIM) 剖析器的清單。 如需 ASIM 剖析器的概觀,請參閱 剖析器概觀。 若要瞭解剖析器如何配合 ASIM 架構,請參閱 ASIM 架構圖表

重要

ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

稽核事件剖析器

若要使用 ASIM 稽核事件剖析器,請從 sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:

來源 注意事項 剖析器
Azure 活動系統管理事件 類別Administrative中的 Azure 活動事件 (資料表AzureActivity中) 。 ASimAuditEventAzureActivity
Exchange 365 系統管理事件 使用 Office 365 連接器收集的 Exchange 系統管理事件(在數據表中 OfficeActivity )。 ASimAuditEventMicrosoftOffice365
Windows 記錄清除事件 使用 Log Analytics 代理程式安全性事件連接器或 Azure 監視器代理程式安全性事件和 WEF 連接器收集的 Windows 事件 1102(使用 SecurityEventWindowsEventEvent 資料表)。 ASimAuditEventMicrosoftWindowsEvents

驗證剖析器

若要使用 ASIM 驗證剖析器,請從 sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:

  • Windows 登入
    • 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集。
    • 使用 SecurityEvent 資料表的安全性事件連接器或 WindowsEvent 資料表的 WEF 連接器收集。
    • 回報為安全性事件(4624、4625、4634 和 4647)。
    • 使用 Microsoft Defender 全面偵測回應 連接器收集的端點 Microsoft Defender 全面偵測回應 所報告。
  • Linux 登入
    • 使用 Microsoft Defender 全面偵測回應 連接器收集的端點 Microsoft Defender 全面偵測回應 所報告。
    • su使用 Syslog 回報的、 sudusshd 活動。
    • 由 Microsoft Defender 回報至 IoT 端點。
  • Microsoft Entra 登入,使用 Microsoft Entra 連接器收集。 針對一般、非互動式、受控識別和服務原則登入,提供個別剖析器。
  • AWS 登入,使用 AWS CloudTrail 連接器收集。
  • Okta 驗證,使用Okta連接器收集。
  • PostgreSQL 登入記錄。

DNS 剖析器

ASIM DNS 剖析器可在每個工作區中使用。 Microsoft Sentinel 提供下列現用的剖析器:

來源 注意事項 剖析器
標準化 DNS 記錄 在擷取數據表 ASimDnsActivityLogs 時正規化的任何事件。 Azure 監視器代理程式的 DNS 連接器會使用 資料表, ASimDnsActivityLogs 剖析器支援 _Im_Dns_Native 此連接器。 _Im_Dns_Native
Azure 防火牆 _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
-
- BlucCat
相同的剖析器支援多個來源。 _Im_Dns_InfobloxNIOSVxx
Microsoft DNS 伺服器 使用收集:
- Log Analytics 代理程式的 DNS 連接器
- 適用於 Azure 監視器代理程式的 DNS 連接器
- NXlog

_Im_Dns_MicrosoftOMSVxx
請參閱標準化 DNS 記錄。
_Im_Dns_MicrosoftNXlogVxx
適用於 Windows 的 Sysmon (事件 22) 使用收集:
- Log Analytics 代理程式
- Azure 監視器代理程式

針對這兩個代理程式,兩者都會收集至
Event 支援和 WindowsEvent 數據表。
_Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Microsoft Sentinel GitHub 存放庫部署已部署剖析器版本的工作區。

檔案活動剖析器

若要使用 ASIM 檔案活動剖析器,請從 Sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:

  • Windows 檔案活動
    • Windows 回報 (事件 4663)
      • 使用 Log Analytics 代理程式型安全性事件連接器收集到 SecurityEvent 資料表。
      • 使用 Azure 監視器代理程式型安全性事件連接器收集到 SecurityEvent 數據表。
      • 使用 Azure 監視器代理程式型 WEF (Windows 事件轉送) 連接器收集到 WindowsEvent 資料表。
    • 使用 Sysmon 檔案活動事件 回報 (事件 11、23 和 26):
      • 使用 Log Analytics 代理程式收集至事件數據表。
      • 使用 Azure 監視器代理程式型 WEF (Windows 事件轉送) 連接器收集到 WindowsEvent 資料表。
    • 使用 Microsoft Defender 全面偵測回應 連接器收集的端點 Microsoft Defender 全面偵測回應 所報告。
  • Microsoft Office 365 SharePoint 和 OneDrive 事件,使用 Office 活動連接器收集。
  • Azure 儲存體,包括 Blob、檔案、佇列和數據表記憶體。

網路會話剖析器

ASIM 網路會話剖析器可在每個工作區中使用。 Microsoft Sentinel 提供下列現用的剖析器:

來源 注意事項 剖析器
正規化網路會話記錄 在擷取數據表 ASimNetworkSessionLogs 時正規化的任何事件。 Azure 監視器代理程式的防火牆連接器會使用 數據表, ASimNetworkSessionLogs 剖析器支援 _Im_NetworkSession_Native 此連接器。 _Im_NetworkSession_Native
AppGate SDP 使用 Syslog 收集的 IP 連線記錄。 _Im_NetworkSession_AppGateSDPVxx
AWS AWS AWS 記錄 使用 AWS S3 連接器收集。 _Im_NetworkSession_AWSVPCVxx
Azure 防火牆記錄 _Im_NetworkSession_AzureFirewallVxx
Azure 監視器 VMConnection 收集為 Azure 監視器 VM 深入解析解決方案的一部分。 _Im_NetworkSession_VMConnectionVxx
Azure 網路安全組 (NSG) 記錄 收集為 Azure 監視器 VM 深入解析解決方案的一部分。 _Im_NetworkSession_AzureNSGVxx
檢查點防火牆-1 使用 CEF 收集。 _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA 使用 CEF 連接器收集。 _Im_NetworkSession_CiscoASAVxx
Cisco Meraki 使用 Cisco Meraki API 連接器收集。 _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek 使用 Corelight Zeek 連接器收集。 _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS 使用 Syslog 收集的 IP 連線記錄。 _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint 防火牆 _Im_NetworkSession_ForcePointFirewallVxx
端點的 Microsoft Defender 全面偵測回應 _Im_NetworkSession_Microsoft365DefenderVxx
適用於 IoT 的 Defender 微代理程式Microsoft _Im_NetworkSession_MD4IoTAgentVxx
適用於IoT的Defender感測器Microsoft _Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS 流量記錄 使用 CEF 收集。 _Im_NetworkSession_PaloAltoCEFVxx
適用於 Linux 的 Sysmon (事件 3) 使用 Log Analytics 代理程式收集
或 Azure 監視器代理程式。
_Im_NetworkSession_LinuxSysmonVxx
Vectra AI 支援pack參數。 _Im_NetworkSession_VectraIAVxx
Windows 防火牆記錄 使用 Log Analytics 代理程式 (事件數據表) 或 Azure 監視器代理程式 (WindowsEvent 數據表) 收集為 Windows 事件。 支援 Windows 事件 5150 到 5159。 _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW 使用 Syslog 收集。 _Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA 防火牆記錄 使用 CEF 收集。 _Im_NetworkSessionZscalerZIAVxx

Microsoft Sentinel GitHub 存放庫部署已部署剖析器版本的工作區。

處理事件剖析器

若要使用 ASIM Process 事件剖析器,請從 sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:

  • 安全性事件進程建立 (事件 4688),使用 Log Analytics 代理程式或 Azure 監視器代理程式收集
  • 安全性事件進程終止 (事件 4689),使用 Log Analytics 代理程式或 Azure 監視器代理程式收集
  • 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集的 Sysmon 程式建立 (事件 1)
  • 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集的 Sysmon 進程終止 (事件 5)
  • 建立端點程式的 Microsoft Defender 全面偵測回應

登錄事件剖析器

若要使用 ASIM Registry 事件剖析器,請從 Sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:

  • 安全性事件登錄更新 (事件 4657 和 4663),使用 Log Analytics 代理程式或 Azure 監視器代理程式收集
  • 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集的 Sysmon 登錄監視事件 (事件 12、13 和 14)
  • 端點登錄事件的 Microsoft Defender 全面偵測回應

Web 會話剖析器

ASIM Web 會話剖析器可在每個工作區中使用。 Microsoft Sentinel 提供下列現用的剖析器:

來源 注意事項 剖析器
標準化的 Web 工作階段記錄 在擷取數據表 ASimWebSessionLogs 時正規化的任何事件。 _Im_WebSession_NativeVxx
網際網路資訊服務 (IIS) 記錄 使用 AMA 或 Log Analytics 代理程式型 IIS 連接器收集。 _Im_WebSession_IISVxx
Palo Alto PanOS 威脅記錄 使用 CEF 收集。 _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
Vectra AI 串流 支援pack參數。 _Im_WebSession_VectraAIVxx
Zscaler ZIA 使用 CEF 收集。 _Im_WebSessionZscalerZIAVxx

Microsoft Sentinel GitHub 存放庫部署已部署剖析器版本的工作區。

下一步

深入了解 ASIM 剖析器:

深入瞭解 ASIM: