Microsoft Sentinel 進階安全性資訊模型 (ASIM) 剖析器列表 (公開預覽)
本檔提供進階安全性資訊模型 (ASIM) 剖析器的清單。 如需 ASIM 剖析器的概觀,請參閱 剖析器概觀。 若要瞭解剖析器如何配合 ASIM 架構,請參閱 ASIM 架構圖表。
重要
ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
若要使用 ASIM 稽核事件剖析器,請從 sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:
來源 | 注意事項 | 剖析器 |
---|---|---|
Azure 活動系統管理事件 | 類別Administrative 中的 Azure 活動事件 (資料表AzureActivity 中) 。 |
ASimAuditEventAzureActivity |
Exchange 365 系統管理事件 | 使用 Office 365 連接器收集的 Exchange 系統管理事件(在數據表中 OfficeActivity )。 |
ASimAuditEventMicrosoftOffice365 |
Windows 記錄清除事件 | 使用 Log Analytics 代理程式安全性事件連接器或 Azure 監視器代理程式安全性事件和 WEF 連接器收集的 Windows 事件 1102(使用 SecurityEvent 、 WindowsEvent 或 Event 資料表)。 |
ASimAuditEventMicrosoftWindowsEvents |
若要使用 ASIM 驗證剖析器,請從 sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:
- Windows 登入
- 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集。
- 使用 SecurityEvent 資料表的安全性事件連接器或 WindowsEvent 資料表的 WEF 連接器收集。
- 回報為安全性事件(4624、4625、4634 和 4647)。
- 使用 Microsoft Defender 全面偵測回應 連接器收集的端點 Microsoft Defender 全面偵測回應 所報告。
- Linux 登入
- 使用 Microsoft Defender 全面偵測回應 連接器收集的端點 Microsoft Defender 全面偵測回應 所報告。
su
使用 Syslog 回報的、sudu
和sshd
活動。- 由 Microsoft Defender 回報至 IoT 端點。
- Microsoft Entra 登入,使用 Microsoft Entra 連接器收集。 針對一般、非互動式、受控識別和服務原則登入,提供個別剖析器。
- AWS 登入,使用 AWS CloudTrail 連接器收集。
- Okta 驗證,使用Okta連接器收集。
- PostgreSQL 登入記錄。
ASIM DNS 剖析器可在每個工作區中使用。 Microsoft Sentinel 提供下列現用的剖析器:
來源 | 注意事項 | 剖析器 |
---|---|---|
標準化 DNS 記錄 | 在擷取數據表 ASimDnsActivityLogs 時正規化的任何事件。 Azure 監視器代理程式的 DNS 連接器會使用 資料表, ASimDnsActivityLogs 剖析器支援 _Im_Dns_Native 此連接器。 |
_Im_Dns_Native |
Azure 防火牆 | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - 捆 - BlucCat |
相同的剖析器支援多個來源。 | _Im_Dns_InfobloxNIOSVxx |
Microsoft DNS 伺服器 | 使用收集: - Log Analytics 代理程式的 DNS 連接器 - 適用於 Azure 監視器代理程式的 DNS 連接器 - NXlog |
_Im_Dns_MicrosoftOMSVxx 請參閱標準化 DNS 記錄。 _Im_Dns_MicrosoftNXlogVxx |
適用於 Windows 的 Sysmon (事件 22) | 使用收集: - Log Analytics 代理程式 - Azure 監視器代理程式 針對這兩個代理程式,兩者都會收集至 Event 支援和 WindowsEvent 數據表。 |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
從 Microsoft Sentinel GitHub 存放庫部署已部署剖析器版本的工作區。
若要使用 ASIM 檔案活動剖析器,請從 Sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:
- Windows 檔案活動
- Windows 回報 (事件 4663):
- 使用 Log Analytics 代理程式型安全性事件連接器收集到 SecurityEvent 資料表。
- 使用 Azure 監視器代理程式型安全性事件連接器收集到 SecurityEvent 數據表。
- 使用 Azure 監視器代理程式型 WEF (Windows 事件轉送) 連接器收集到 WindowsEvent 資料表。
- 使用 Sysmon 檔案活動事件 回報 (事件 11、23 和 26):
- 使用 Log Analytics 代理程式收集至事件數據表。
- 使用 Azure 監視器代理程式型 WEF (Windows 事件轉送) 連接器收集到 WindowsEvent 資料表。
- 使用 Microsoft Defender 全面偵測回應 連接器收集的端點 Microsoft Defender 全面偵測回應 所報告。
- Windows 回報 (事件 4663):
- Microsoft Office 365 SharePoint 和 OneDrive 事件,使用 Office 活動連接器收集。
- Azure 儲存體,包括 Blob、檔案、佇列和數據表記憶體。
ASIM 網路會話剖析器可在每個工作區中使用。 Microsoft Sentinel 提供下列現用的剖析器:
來源 | 注意事項 | 剖析器 |
---|---|---|
正規化網路會話記錄 | 在擷取數據表 ASimNetworkSessionLogs 時正規化的任何事件。 Azure 監視器代理程式的防火牆連接器會使用 數據表, ASimNetworkSessionLogs 剖析器支援 _Im_NetworkSession_Native 此連接器。 |
_Im_NetworkSession_Native |
AppGate SDP | 使用 Syslog 收集的 IP 連線記錄。 | _Im_NetworkSession_AppGateSDPVxx |
AWS AWS AWS 記錄 | 使用 AWS S3 連接器收集。 | _Im_NetworkSession_AWSVPCVxx |
Azure 防火牆記錄 | _Im_NetworkSession_AzureFirewallVxx |
|
Azure 監視器 VMConnection | 收集為 Azure 監視器 VM 深入解析解決方案的一部分。 | _Im_NetworkSession_VMConnectionVxx |
Azure 網路安全組 (NSG) 記錄 | 收集為 Azure 監視器 VM 深入解析解決方案的一部分。 | _Im_NetworkSession_AzureNSGVxx |
檢查點防火牆-1 | 使用 CEF 收集。 | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | 使用 CEF 連接器收集。 | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | 使用 Cisco Meraki API 連接器收集。 | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | 使用 Corelight Zeek 連接器收集。 | _im_NetworkSession_CorelightZeekVxx |
Fortigate FortiOS | 使用 Syslog 收集的 IP 連線記錄。 | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint 防火牆 | _Im_NetworkSession_ForcePointFirewallVxx |
|
端點的 Microsoft Defender 全面偵測回應 | _Im_NetworkSession_Microsoft365DefenderVxx |
|
適用於 IoT 的 Defender 微代理程式Microsoft | _Im_NetworkSession_MD4IoTAgentVxx |
|
適用於IoT的Defender感測器Microsoft | _Im_NetworkSession_MD4IoTSensorVxx |
|
Palo Alto PanOS 流量記錄 | 使用 CEF 收集。 | _Im_NetworkSession_PaloAltoCEFVxx |
適用於 Linux 的 Sysmon (事件 3) | 使用 Log Analytics 代理程式收集 或 Azure 監視器代理程式。 |
_Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | 支援pack參數。 | _Im_NetworkSession_VectraIAVxx |
Windows 防火牆記錄 | 使用 Log Analytics 代理程式 (事件數據表) 或 Azure 監視器代理程式 (WindowsEvent 數據表) 收集為 Windows 事件。 支援 Windows 事件 5150 到 5159。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Watchguard FirewareOW | 使用 Syslog 收集。 | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Zscaler ZIA 防火牆記錄 | 使用 CEF 收集。 | _Im_NetworkSessionZscalerZIAVxx |
從 Microsoft Sentinel GitHub 存放庫部署已部署剖析器版本的工作區。
若要使用 ASIM Process 事件剖析器,請從 sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:
- 安全性事件進程建立 (事件 4688),使用 Log Analytics 代理程式或 Azure 監視器代理程式收集
- 安全性事件進程終止 (事件 4689),使用 Log Analytics 代理程式或 Azure 監視器代理程式收集
- 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集的 Sysmon 程式建立 (事件 1)
- 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集的 Sysmon 進程終止 (事件 5)
- 建立端點程式的 Microsoft Defender 全面偵測回應
若要使用 ASIM Registry 事件剖析器,請從 Sentinel GitHub 存放庫Microsoft部署剖析器。 Microsoft Sentinel 會在從 GitHub 部署的套件中提供下列剖析器:
- 安全性事件登錄更新 (事件 4657 和 4663),使用 Log Analytics 代理程式或 Azure 監視器代理程式收集
- 使用 Log Analytics 代理程式或 Azure 監視器代理程式收集的 Sysmon 登錄監視事件 (事件 12、13 和 14)
- 端點登錄事件的 Microsoft Defender 全面偵測回應
ASIM Web 會話剖析器可在每個工作區中使用。 Microsoft Sentinel 提供下列現用的剖析器:
來源 | 注意事項 | 剖析器 |
---|---|---|
標準化的 Web 工作階段記錄 | 在擷取數據表 ASimWebSessionLogs 時正規化的任何事件。 |
_Im_WebSession_NativeVxx |
網際網路資訊服務 (IIS) 記錄 | 使用 AMA 或 Log Analytics 代理程式型 IIS 連接器收集。 | _Im_WebSession_IISVxx |
Palo Alto PanOS 威脅記錄 | 使用 CEF 收集。 | _Im_WebSession_PaloAltoCEFVxx |
Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
Vectra AI 串流 | 支援pack參數。 | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | 使用 CEF 收集。 | _Im_WebSessionZscalerZIAVxx |
從 Microsoft Sentinel GitHub 存放庫部署已部署剖析器版本的工作區。
深入了解 ASIM 剖析器:
深入瞭解 ASIM: