Microsoft Sentinel Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcılarının listesi (Genel önizleme)
Bu belge, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcılarının listesini sağlar. ASIM ayrıştırıcılarına genel bakış için ayrıştırıcılara genel bakış bölümüne bakın. Ayrıştırıcıların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.
Önemli
ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Olay ayrıştırıcılarını denetleme
ASIM denetim olayı ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:
Kaynak | Notlar | Ayrıştırıcı |
---|---|---|
Azure Etkinliği yönetim olayları | kategorisindeki AzureActivity Administrative Azure Etkinlik olayları (tabloda). |
ASimAuditEventAzureActivity |
Exchange 365 yönetim olayları | Office 365 bağlayıcısı kullanılarak toplanan Exchange Yönetim olayları (tabloda).OfficeActivity |
ASimAuditEventMicrosoftOffice365 |
Windows Günlüğü temizleme olayı | Log Analytics aracısı Güvenlik Olayları bağlayıcısı veya Azure izleyici aracısı Güvenlik Olayları ve WEF bağlayıcıları (, WindowsEvent veya Event tabloları kullanılarak) kullanılarak SecurityEvent toplanan Windows Olay 1102. |
ASimAuditEventMicrosoftWindowsEvents |
Kimlik doğrulama ayrıştırıcıları
ASIM kimlik doğrulaması ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:
- Windows oturum açma işlemleri
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanır.
- SecurityEvent tablosuna güvenlik olayları bağlayıcıları kullanılarak veya WindowsEvent tablosuna WEF bağlayıcısı kullanılarak toplanır.
- Güvenlik Olayları (4624, 4625, 4634 ve 4647) olarak raporlandı.
- Microsoft Defender XDR bağlayıcısı kullanılarak toplanan Uç Nokta için Microsoft Defender XDR tarafından bildirildi.
- Linux oturum açma işlemleri
- Microsoft Defender XDR bağlayıcısı kullanılarak toplanan Uç Nokta için Microsoft Defender XDR tarafından bildirildi.
su
,sudu
vesshd
syslog kullanılarak bildirilen etkinlik.- Microsoft Defender tarafından IoT Uç Noktası'na bildirildi.
- Microsoft Entra bağlayıcısı kullanılarak toplanan Microsoft Entra oturum açma işlemleri. Normal, Etkileşimli Olmayan, Yönetilen Kimlikler ve Hizmet İlkeleri Oturum Açma işlemleri için ayrı ayrıştırıcılar sağlanır.
- AWS CloudTrail bağlayıcısı kullanılarak toplanan AWS oturum açma işlemleri.
- Okta bağlayıcısı kullanılarak toplanan Okta kimlik doğrulaması.
- PostgreSQL oturum açma günlükleri.
DNS ayrıştırıcıları
ASIM DNS ayrıştırıcıları her çalışma alanında kullanılabilir. Microsoft Sentinel aşağıdaki kullanıma açık ayrıştırıcıları sağlar:
Kaynak | Notlar | Ayrıştırıcı |
---|---|---|
Normalleştirilmiş DNS Günlükleri | Tabloya ASimDnsActivityLogs alma sırasında normalleştirilmiş herhangi bir olay. Azure İzleyici Aracısı için DNS bağlayıcısı tabloyu kullanır ASimDnsActivityLogs ve ayrıştırıcı tarafından _Im_Dns_Native desteklenir. |
_Im_Dns_Native |
Azure Güvenlik Duvarı | _Im_Dns_AzureFirewallVxx |
|
Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
GCP DNS | _Im_Dns_GcpVxx |
|
- Infoblox NIOS - BAĞLAMAK - BlucCat |
Aynı ayrıştırıcılar birden çok kaynağı destekler. | _Im_Dns_InfobloxNIOSVxx |
Microsoft DNS Sunucusu | Aşağıdakiler kullanılarak toplanır: - Log Analytics Aracısı için DNS bağlayıcısı - Azure İzleyici Aracısı için DNS bağlayıcısı - NXlog |
_Im_Dns_MicrosoftOMSVxx Bkz. Normalleştirilmiş DNS günlükleri. _Im_Dns_MicrosoftNXlogVxx |
Windows için Sysmon (olay 22) | Aşağıdakiler kullanılarak toplanır: - Log Analytics Aracısı - Azure İzleyici Aracısı Her iki aracı için de Event ve WindowsEvent tablolar desteklenir. |
_Im_Dns_MicrosoftSysmonVxx |
Vectra AI | _Im_Dns_VectraIAVxx |
|
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
Microsoft Sentinel GitHub deposundan dağıtılan çalışma alanı ayrıştırıcıları sürümünü dağıtın.
Dosya Etkinliği ayrıştırıcıları
ASIM Dosya Etkinliği ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:
- Windows dosya etkinliği
- Windows tarafından bildirildi (olay 4663):
- SecurityEvent tablosuna Log Analytics Aracısı tabanlı Güvenlik Olayları bağlayıcısı kullanılarak toplanır.
- SecurityEvent tablosuna Azure İzleyici Aracısı tabanlı Güvenlik Olayları bağlayıcısı kullanılarak toplanır.
- Azure İzleyici Aracısı tabanlı WEF (Windows Olay İletme) bağlayıcısı kullanılarak WindowsEvent tablosuna toplanır.
- Sysmon dosya etkinliği olayları (Olaylar 11, 23 ve 26) kullanılarak bildirilir:
- Olay tablosunda Log Analytics Aracısı kullanılarak toplanır.
- Azure İzleyici Aracısı tabanlı WEF (Windows Olay İletme) bağlayıcısı kullanılarak WindowsEvent tablosuna toplanır.
- Uç Nokta için Microsoft Defender XDR tarafından bildirilen ve Microsoft Defender XDR bağlayıcısı kullanılarak toplanan.
- Windows tarafından bildirildi (olay 4663):
- Office Etkinliği bağlayıcısı kullanılarak toplanan Microsoft Office 365 SharePoint ve OneDrive olayları.
- Blob, Dosya, Kuyruk ve Tablo Depolama dahil olmak üzere Azure Depolama.
Ağ Oturumu ayrıştırıcıları
ASIM Ağ Oturumu ayrıştırıcıları her çalışma alanında kullanılabilir. Microsoft Sentinel aşağıdaki kullanıma açık ayrıştırıcıları sağlar:
Kaynak | Notlar | Ayrıştırıcı |
---|---|---|
Normalleştirilmiş Ağ Oturumu Günlükleri | Tabloya ASimNetworkSessionLogs alma sırasında normalleştirilmiş herhangi bir olay. Azure İzleyici Aracısı için Güvenlik Duvarı bağlayıcısı tabloyu kullanır ASimNetworkSessionLogs ve ayrıştırıcı tarafından _Im_NetworkSession_Native desteklenir. |
_Im_NetworkSession_Native |
AppGate SDP | Syslog kullanılarak toplanan IP bağlantı günlükleri. | _Im_NetworkSession_AppGateSDPVxx |
AWS VPC günlükleri | AWS S3 bağlayıcısı kullanılarak toplanır. | _Im_NetworkSession_AWSVPCVxx |
günlükleri Azure Güvenlik Duvarı | _Im_NetworkSession_AzureFirewallVxx |
|
Azure İzleyici VMBağlantı | Azure İzleyici VM Insights çözümünün bir parçası olarak toplanır. | _Im_NetworkSession_VMConnectionVxx |
Azure Ağ Güvenlik Grupları (NSG) günlükleri | Azure İzleyici VM Insights çözümünün bir parçası olarak toplanır. | _Im_NetworkSession_AzureNSGVxx |
Denetim Noktası Güvenlik Duvarı-1 | CEF kullanılarak toplanır. | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | CEF bağlayıcısı kullanılarak toplanır. | _Im_NetworkSession_CiscoASAVxx |
Cisco Meraki | Cisco Meraki API bağlayıcısı kullanılarak toplanır. | _Im_NetworkSession_CiscoMerakiVxx |
Corelight Zeek | Corelight Zeek bağlayıcısı kullanılarak toplanır. | _im_NetworkSession_CorelightZeekVxx |
FortiOS'un fortigate'i | Syslog kullanılarak toplanan IP bağlantı günlükleri. | _Im_NetworkSession_FortinetFortiGateVxx |
ForcePoint Güvenlik Duvarı | _Im_NetworkSession_ForcePointFirewallVxx |
|
Uç Nokta için Microsoft Defender XDR | _Im_NetworkSession_Microsoft365DefenderVxx |
|
IoT için Microsoft Defender mikro aracısı | _Im_NetworkSession_MD4IoTAgentVxx |
|
IoT için Microsoft Defender algılayıcısı | _Im_NetworkSession_MD4IoTSensorVxx |
|
Palo Alto PanOS trafik günlükleri | CEF kullanılarak toplanır. | _Im_NetworkSession_PaloAltoCEFVxx |
Linux için Sysmon (olay 3) | Log Analytics Aracısı kullanılarak toplanır veya Azure İzleyici Aracısı'nı seçin. |
_Im_NetworkSession_LinuxSysmonVxx |
Vectra AI | Pack parametresini destekler. | _Im_NetworkSession_VectraIAVxx |
Windows Güvenlik Duvarı günlükleri | Log Analytics Aracısı (Olay tablosu) veya Azure İzleyici Aracısı (WindowsEvent tablosu) kullanılarak Windows olayları olarak toplanır. 5150 - 5159 Windows olaylarını destekler. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Watchguard FirewareOW | Syslog kullanılarak toplanır. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
Zscaler ZIA güvenlik duvarı günlükleri | CEF kullanılarak toplanır. | _Im_NetworkSessionZscalerZIAVxx |
Microsoft Sentinel GitHub deposundan dağıtılan çalışma alanı ayrıştırıcıları sürümünü dağıtın.
olay ayrıştırıcılarını işleme
ASIM İşlem Olayı ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Güvenlik Olayları işlem oluşturma (Olay 4688)
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Güvenlik Olayları işlemi sonlandırma (Olay 4689)
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Sysmon işlemi oluşturma (Olay 1)
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Sysmon işlemi sonlandırma (Olay 5)
- Uç Nokta için Microsoft Defender XDR işlemi oluşturma
Kayıt Defteri Olay ayrıştırıcıları
ASIM Kayıt Defteri Olay ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Güvenlik Olayları kayıt defteri güncelleştirmesi (Olaylar 4657 ve 4663)
- Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Sysmon kayıt defteri izleme olayları (Olaylar 12, 13 ve 14)
- Uç Nokta kayıt defteri olayları için Microsoft Defender XDR
Web Oturumu ayrıştırıcıları
ASIM Web Oturumu ayrıştırıcıları her çalışma alanında kullanılabilir. Microsoft Sentinel aşağıdaki kullanıma açık ayrıştırıcıları sağlar:
Kaynak | Notlar | Ayrıştırıcı |
---|---|---|
Normalleştirilmiş Web Oturumu Günlükleri | Tabloya ASimWebSessionLogs alma sırasında normalleştirilmiş herhangi bir olay. |
_Im_WebSession_NativeVxx |
Internet Information Services (IIS) Günlükleri | AMA veya Log Analytics Aracısı tabanlı IIS bağlayıcıları kullanılarak toplanır. | _Im_WebSession_IISVxx |
Palo Alto PanOS tehdit günlükleri | CEF kullanılarak toplanır. | _Im_WebSession_PaloAltoCEFVxx |
Mürekkep Balığı Ara Sunucusu | _Im_WebSession_SquidProxyVxx |
|
Vectra AI Akışları | Pack parametresini destekler. | _Im_WebSession_VectraAIVxx |
Zscaler ZIA | CEF kullanılarak toplanır. | _Im_WebSessionZscalerZIAVxx |
Microsoft Sentinel GitHub deposundan dağıtılan çalışma alanı ayrıştırıcıları sürümünü dağıtın.
Sonraki adımlar
ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:
ASIM hakkında daha fazla bilgi edinin:
- Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği