Elenco dei parser di Microsoft Sentinel Advanced Security Information Model (ASIM) (anteprima pubblica)
Questo documento fornisce un elenco di parser ASIM (Advanced Security Information Model). Per una panoramica dei parser ASIM, vedere la panoramica dei parser. Per comprendere in che modo i parser rientrano nell'architettura ASIM, vedere il diagramma dell'architettura di ASIM.
Importante
ASIM è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Controllare i parser di eventi
Per usare i parser di eventi di controllo ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:
| Origine | Note | Parser |
|---|---|---|
| Eventi amministrativi attività di Azure | Eventi dell'attività AzureActivity di Azure (nella tabella) nella categoria Administrative. |
ASimAuditEventAzureActivity |
| Eventi amministrativi di Exchange 365 | Eventi amministrativi di Exchange raccolti tramite il connettore di Office 365 (nella OfficeActivity tabella). |
ASimAuditEventMicrosoftOffice365 |
| Evento di cancellazione log di Windows | Evento di Windows 1102 raccolto tramite il connettore Eventi di sicurezza dell'agente di Log Analytics o i connettori eventi di sicurezza dell'agente di Monitoraggio di Azure e WEF (usando le SecurityEventtabelle , WindowsEvento Event ). |
ASimAuditEventMicrosoftWindowsEvents |
Parser di autenticazione
Per usare i parser di autenticazione ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:
- Accessi di Windows
- Raccolto tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure.
- Raccolto usando i connettori eventi di sicurezza per la tabella SecurityEvent o il connettore WEF alla tabella WindowsEvent.
- Segnalato come eventi di sicurezza (4624, 4625, 4634 e 4647).
- segnalato da Microsoft Defender XDR per endpoint, raccolto tramite il connettore Microsoft Defender XDR.
- Accessi in Linux
- segnalato da Microsoft Defender XDR per endpoint, raccolto tramite il connettore Microsoft Defender XDR.
suAttività ,suduesshdsegnalate tramite Syslog.- segnalato da Microsoft Defender all'endpoint IoT.
- Accessi a Microsoft Entra, raccolti tramite il connettore Microsoft Entra. I parser separati vengono forniti per gli accessi regolari, non interattivi, identità gestite e principi del servizio.
- Accessi AWS, raccolti usando il connettore AWS CloudTrail.
- Autenticazione okta, raccolta tramite il connettore Okta.
- Log di accesso di PostgreSQL .
Parser DNS
I parser DNS ASIM sono disponibili in ogni area di lavoro. Microsoft Sentinel offre i parser predefiniti seguenti:
| Origine | Note | Parser |
|---|---|---|
| Log DNS normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimDnsActivityLogs tabella. Il connettore DNS per l'agente di Monitoraggio di Azure usa la ASimDnsActivityLogs tabella ed è supportato dal _Im_Dns_Native parser. |
_Im_Dns_Native |
| Firewall di Azure | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - LEGARE - BlucCat |
Gli stessi parser supportano più origini. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | Raccolto con: - Connettore DNS per l'agente di Log Analytics - Connettore DNS per l'agente di Monitoraggio di Azure - NXlog |
_Im_Dns_MicrosoftOMSVxxVedere Log DNS normalizzati. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon per Windows (evento 22) | Raccolto con: - Agente di Log Analytics - Agente di Monitoraggio di Azure Per entrambi gli agenti, sia la raccolta nell'oggetto Event Le tabelle e WindowsEvent sono supportate. |
_Im_Dns_MicrosoftSysmonVxx |
| Intelligenza artificiale Vectra | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Distribuire la versione dei parser distribuiti nell'area di lavoro dal repository GitHub di Microsoft Sentinel.
Parser attività file
Per usare i parser di attività file ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:
- Attività file di Windows
- Segnalato da Windows (evento 4663):
- Raccolto usando il connettore Eventi di sicurezza basati su Agente di Log Analytics alla tabella SecurityEvent.
- Raccolto usando il connettore Eventi di sicurezza basati su Agente di Monitoraggio di Azure alla tabella SecurityEvent.
- Raccolto usando il connettore WEF (Windows Event Forwarding) basato sull'agente di Monitoraggio di Azure alla tabella WindowsEvent.
- Segnalato tramite eventi di attività file Sysmon (eventi 11, 23 e 26):
- Raccolta tramite l'agente di Log Analytics nella tabella Eventi.
- Raccolto usando il connettore WEF (Windows Event Forwarding) basato sull'agente di Monitoraggio di Azure alla tabella WindowsEvent.
- Segnalato da Microsoft Defender XDR per endpoint, raccolto tramite il connettore Microsoft Defender XDR.
- Segnalato da Windows (evento 4663):
- Eventi di Microsoft Office 365 SharePoint e OneDrive raccolti tramite il connettore attività di Office.
- Archiviazione di Azure, tra cui BLOB, file, coda e archiviazione tabelle.
Parser di sessione di rete
I parser di sessione di rete ASIM sono disponibili in ogni area di lavoro. Microsoft Sentinel offre i parser predefiniti seguenti:
| Origine | Note | Parser |
|---|---|---|
| Log di sessione di rete normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimNetworkSessionLogs tabella. Il connettore Firewall per l'agente di Monitoraggio di Azure usa la ASimNetworkSessionLogs tabella ed è supportato dal _Im_NetworkSession_Native parser. |
_Im_NetworkSession_Native |
| AppGate SDP | Log di connessione IP raccolti tramite Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Log di AWS VPC | Raccolto tramite il connettore AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| log di Firewall di Azure | _Im_NetworkSession_AzureFirewallVxx |
|
| VmConnection di Monitoraggio di Azure | Raccolto come parte della soluzione Informazioni dettagliate macchina virtuale di Monitoraggio di Azure. | _Im_NetworkSession_VMConnectionVxx |
| Log dei gruppi di sicurezza di rete di Azure | Raccolto come parte della soluzione Informazioni dettagliate macchina virtuale di Monitoraggio di Azure. | _Im_NetworkSession_AzureNSGVxx |
| Firewall del checkpoint- 1 | Raccolto con CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Raccolto tramite il connettore CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | Raccolto tramite il connettore API Cisco Meraki. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Raccolto con il connettore Corelight Zeek. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | Log di connessione IP raccolti tramite Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint Firewall | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR per endpoint | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Micro agent di Microsoft Defender per IoT | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Sensore Microsoft Defender per IoT | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Log del traffico di Palo Alto PanOS | Raccolto con CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon per Linux (evento 3) | Raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure. |
_Im_NetworkSession_LinuxSysmonVxx |
| Intelligenza artificiale Vectra | Supporta il parametro pack . | _Im_NetworkSession_VectraIAVxx |
| Log di Windows Firewall | Raccolto come eventi di Windows tramite l'agente di Log Analytics (tabella eventi) o l'agente di Monitoraggio di Azure (tabella WindowsEvent). Supporta gli eventi di Windows da 5150 a 5159. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | Raccolto con Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Log del firewall di Zscaler ZIA | Raccolto con CEF. | _Im_NetworkSessionZscalerZIAVxx |
Distribuire la versione dei parser distribuiti nell'area di lavoro dal repository GitHub di Microsoft Sentinel.
Elabora parser di eventi
Per usare i parser di eventi del processo ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:
- Creazione del processo degli eventi di sicurezza (evento 4688) raccolti usando l'agente di Log Analytics o l'agente di Monitoraggio di Azure
- Terminazione del processo degli eventi di sicurezza (evento 4689) raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
- Creazione del processo Sysmon (evento 1) raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
- Terminazione del processo Sysmon (evento 5) raccolta tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
- Creazione del processo di Microsoft Defender XDR per endpoint
Parser di eventi del Registro di sistema
Per usare i parser di eventi del Registro ASIM, distribuire i parser dal repository GitHub di Microsoft Sentinel. Microsoft Sentinel fornisce i parser seguenti nei pacchetti distribuiti da GitHub:
- Aggiornamento del Registro di sistema degli eventi di sicurezza (eventi 4657 e 4663), raccolti tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
- Eventi di monitoraggio del Registro di sistema Sysmon (eventi 12, 13 e 14) raccolti tramite l'agente di Log Analytics o l'agente di Monitoraggio di Azure
- Eventi del Registro di sistema di Microsoft Defender XDR per endpoint
Parser di sessione Web
I parser di sessione Web ASIM sono disponibili in ogni area di lavoro. Microsoft Sentinel offre i parser predefiniti seguenti:
| Origine | Note | Parser |
|---|---|---|
| Log di sessione Web normalizzati | Qualsiasi evento normalizzato durante l'inserimento nella ASimWebSessionLogs tabella. |
_Im_WebSession_NativeVxx |
| Log di Internet Information Services (IIS) | Raccolto usando i connettori IIS basati su AMA o Log Analytics Agent. | _Im_WebSession_IISVxx |
| Log delle minacce di Palo Alto PanOS | Raccolto con CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Squid Proxy | _Im_WebSession_SquidProxyVxx |
|
| Flussi di intelligenza artificiale Vectra | Supporta il parametro pack . | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Raccolto con CEF. | _Im_WebSessionZscalerZIAVxx |
Distribuire la versione dei parser distribuiti nell'area di lavoro dal repository GitHub di Microsoft Sentinel.
Passaggi successivi
Altre informazioni sui parser ASIM:
Altre informazioni su ASIM:
- Guardare il webinar di approfondimento su Microsoft Sentinel Normalizzazione dei parser e del contenuto normalizzato o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Schemi ASIM (Advanced Security Information Model)
- Contenuto di Advanced Security Information Model (ASIM)