Microsoft Sentinel Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcılarının listesi (Genel önizleme)

Bu belge, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcılarının listesini sağlar. ASIM ayrıştırıcılarına genel bakış için ayrıştırıcılara genel bakış bölümüne bakın. Ayrıştırıcıların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.

Önemli

ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Olay ayrıştırıcılarını denetleme

ASIM denetim olayı ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:

Kaynak Notlar Ayrıştırıcı
Azure Etkinliği yönetim olayları kategorisindeki AzureActivity AdministrativeAzure Etkinlik olayları (tabloda). ASimAuditEventAzureActivity
Exchange 365 yönetim olayları Office 365 bağlayıcısı kullanılarak toplanan Exchange Yönetim olayları (tabloda).OfficeActivity ASimAuditEventMicrosoftOffice365
Windows Günlüğü temizleme olayı Log Analytics aracısı Güvenlik Olayları bağlayıcısı veya Azure izleyici aracısı Güvenlik Olayları ve WEF bağlayıcıları (, WindowsEventveya Event tabloları kullanılarak) kullanılarak SecurityEventtoplanan Windows Olay 1102. ASimAuditEventMicrosoftWindowsEvents

Kimlik doğrulama ayrıştırıcıları

ASIM kimlik doğrulaması ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:

  • Windows oturum açma işlemleri
    • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanır.
    • SecurityEvent tablosuna güvenlik olayları bağlayıcıları kullanılarak veya WindowsEvent tablosuna WEF bağlayıcısı kullanılarak toplanır.
    • Güvenlik Olayları (4624, 4625, 4634 ve 4647) olarak raporlandı.
    • Microsoft Defender XDR bağlayıcısı kullanılarak toplanan Uç Nokta için Microsoft Defender XDR tarafından bildirildi.
  • Linux oturum açma işlemleri
    • Microsoft Defender XDR bağlayıcısı kullanılarak toplanan Uç Nokta için Microsoft Defender XDR tarafından bildirildi.
    • su, suduve sshd syslog kullanılarak bildirilen etkinlik.
    • Microsoft Defender tarafından IoT Uç Noktası'na bildirildi.
  • Microsoft Entra bağlayıcısı kullanılarak toplanan Microsoft Entra oturum açma işlemleri. Normal, Etkileşimli Olmayan, Yönetilen Kimlikler ve Hizmet İlkeleri Oturum Açma işlemleri için ayrı ayrıştırıcılar sağlanır.
  • AWS CloudTrail bağlayıcısı kullanılarak toplanan AWS oturum açma işlemleri.
  • Okta bağlayıcısı kullanılarak toplanan Okta kimlik doğrulaması.
  • PostgreSQL oturum açma günlükleri.

DNS ayrıştırıcıları

ASIM DNS ayrıştırıcıları her çalışma alanında kullanılabilir. Microsoft Sentinel aşağıdaki kullanıma açık ayrıştırıcıları sağlar:

Kaynak Notlar Ayrıştırıcı
Normalleştirilmiş DNS Günlükleri Tabloya ASimDnsActivityLogs alma sırasında normalleştirilmiş herhangi bir olay. Azure İzleyici Aracısı için DNS bağlayıcısı tabloyu kullanır ASimDnsActivityLogs ve ayrıştırıcı tarafından _Im_Dns_Native desteklenir. _Im_Dns_Native
Azure Güvenlik Duvarı _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BAĞLAMAK
- BlucCat
Aynı ayrıştırıcılar birden çok kaynağı destekler. _Im_Dns_InfobloxNIOSVxx
Microsoft DNS Sunucusu Aşağıdakiler kullanılarak toplanır:
- Log Analytics Aracısı için DNS bağlayıcısı
- Azure İzleyici Aracısı için DNS bağlayıcısı
- NXlog

_Im_Dns_MicrosoftOMSVxx
Bkz. Normalleştirilmiş DNS günlükleri.
_Im_Dns_MicrosoftNXlogVxx
Windows için Sysmon (olay 22) Aşağıdakiler kullanılarak toplanır:
- Log Analytics Aracısı
- Azure İzleyici Aracısı

Her iki aracı için de
Event ve WindowsEvent tablolar desteklenir.
_Im_Dns_MicrosoftSysmonVxx
Vectra AI _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Microsoft Sentinel GitHub deposundan dağıtılan çalışma alanı ayrıştırıcıları sürümünü dağıtın.

Dosya Etkinliği ayrıştırıcıları

ASIM Dosya Etkinliği ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:

  • Windows dosya etkinliği
    • Windows tarafından bildirildi (olay 4663):
      • SecurityEvent tablosuna Log Analytics Aracısı tabanlı Güvenlik Olayları bağlayıcısı kullanılarak toplanır.
      • SecurityEvent tablosuna Azure İzleyici Aracısı tabanlı Güvenlik Olayları bağlayıcısı kullanılarak toplanır.
      • Azure İzleyici Aracısı tabanlı WEF (Windows Olay İletme) bağlayıcısı kullanılarak WindowsEvent tablosuna toplanır.
    • Sysmon dosya etkinliği olayları (Olaylar 11, 23 ve 26) kullanılarak bildirilir:
      • Olay tablosunda Log Analytics Aracısı kullanılarak toplanır.
      • Azure İzleyici Aracısı tabanlı WEF (Windows Olay İletme) bağlayıcısı kullanılarak WindowsEvent tablosuna toplanır.
    • Uç Nokta için Microsoft Defender XDR tarafından bildirilen ve Microsoft Defender XDR bağlayıcısı kullanılarak toplanan.
  • Office Etkinliği bağlayıcısı kullanılarak toplanan Microsoft Office 365 SharePoint ve OneDrive olayları.
  • Blob, Dosya, Kuyruk ve Tablo Depolama dahil olmak üzere Azure Depolama.

Ağ Oturumu ayrıştırıcıları

ASIM Ağ Oturumu ayrıştırıcıları her çalışma alanında kullanılabilir. Microsoft Sentinel aşağıdaki kullanıma açık ayrıştırıcıları sağlar:

Kaynak Notlar Ayrıştırıcı
Normalleştirilmiş Ağ Oturumu Günlükleri Tabloya ASimNetworkSessionLogs alma sırasında normalleştirilmiş herhangi bir olay. Azure İzleyici Aracısı için Güvenlik Duvarı bağlayıcısı tabloyu kullanır ASimNetworkSessionLogs ve ayrıştırıcı tarafından _Im_NetworkSession_Native desteklenir. _Im_NetworkSession_Native
AppGate SDP Syslog kullanılarak toplanan IP bağlantı günlükleri. _Im_NetworkSession_AppGateSDPVxx
AWS VPC günlükleri AWS S3 bağlayıcısı kullanılarak toplanır. _Im_NetworkSession_AWSVPCVxx
günlükleri Azure Güvenlik Duvarı _Im_NetworkSession_AzureFirewallVxx
Azure İzleyici VMBağlantı Azure İzleyici VM Insights çözümünün bir parçası olarak toplanır. _Im_NetworkSession_VMConnectionVxx
Azure Ağ Güvenlik Grupları (NSG) günlükleri Azure İzleyici VM Insights çözümünün bir parçası olarak toplanır. _Im_NetworkSession_AzureNSGVxx
Denetim Noktası Güvenlik Duvarı-1 CEF kullanılarak toplanır. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA CEF bağlayıcısı kullanılarak toplanır. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki Cisco Meraki API bağlayıcısı kullanılarak toplanır. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek Corelight Zeek bağlayıcısı kullanılarak toplanır. _im_NetworkSession_CorelightZeekVxx
FortiOS'un fortigate'i Syslog kullanılarak toplanan IP bağlantı günlükleri. _Im_NetworkSession_FortinetFortiGateVxx
ForcePoint Güvenlik Duvarı _Im_NetworkSession_ForcePointFirewallVxx
Uç Nokta için Microsoft Defender XDR _Im_NetworkSession_Microsoft365DefenderVxx
IoT için Microsoft Defender mikro aracısı _Im_NetworkSession_MD4IoTAgentVxx
IoT için Microsoft Defender algılayıcısı _Im_NetworkSession_MD4IoTSensorVxx
Palo Alto PanOS trafik günlükleri CEF kullanılarak toplanır. _Im_NetworkSession_PaloAltoCEFVxx
Linux için Sysmon (olay 3) Log Analytics Aracısı kullanılarak toplanır
veya Azure İzleyici Aracısı'nı seçin.
_Im_NetworkSession_LinuxSysmonVxx
Vectra AI Pack parametresini destekler. _Im_NetworkSession_VectraIAVxx
Windows Güvenlik Duvarı günlükleri Log Analytics Aracısı (Olay tablosu) veya Azure İzleyici Aracısı (WindowsEvent tablosu) kullanılarak Windows olayları olarak toplanır. 5150 - 5159 Windows olaylarını destekler. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW Syslog kullanılarak toplanır. _Im_NetworkSession_WatchGuardFirewareOSVxx
Zscaler ZIA güvenlik duvarı günlükleri CEF kullanılarak toplanır. _Im_NetworkSessionZscalerZIAVxx

Microsoft Sentinel GitHub deposundan dağıtılan çalışma alanı ayrıştırıcıları sürümünü dağıtın.

olay ayrıştırıcılarını işleme

ASIM İşlem Olayı ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:

  • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Güvenlik Olayları işlem oluşturma (Olay 4688)
  • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Güvenlik Olayları işlemi sonlandırma (Olay 4689)
  • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Sysmon işlemi oluşturma (Olay 1)
  • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Sysmon işlemi sonlandırma (Olay 5)
  • Uç Nokta için Microsoft Defender XDR işlemi oluşturma

Kayıt Defteri Olay ayrıştırıcıları

ASIM Kayıt Defteri Olay ayrıştırıcılarını kullanmak için Microsoft Sentinel GitHub deposundan ayrıştırıcıları dağıtın. Microsoft Sentinel, GitHub'dan dağıtılan paketlerde aşağıdaki ayrıştırıcıları sağlar:

  • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Güvenlik Olayları kayıt defteri güncelleştirmesi (Olaylar 4657 ve 4663)
  • Log Analytics Aracısı veya Azure İzleyici Aracısı kullanılarak toplanan Sysmon kayıt defteri izleme olayları (Olaylar 12, 13 ve 14)
  • Uç Nokta kayıt defteri olayları için Microsoft Defender XDR

Web Oturumu ayrıştırıcıları

ASIM Web Oturumu ayrıştırıcıları her çalışma alanında kullanılabilir. Microsoft Sentinel aşağıdaki kullanıma açık ayrıştırıcıları sağlar:

Kaynak Notlar Ayrıştırıcı
Normalleştirilmiş Web Oturumu Günlükleri Tabloya ASimWebSessionLogs alma sırasında normalleştirilmiş herhangi bir olay. _Im_WebSession_NativeVxx
Internet Information Services (IIS) Günlükleri AMA veya Log Analytics Aracısı tabanlı IIS bağlayıcıları kullanılarak toplanır. _Im_WebSession_IISVxx
Palo Alto PanOS tehdit günlükleri CEF kullanılarak toplanır. _Im_WebSession_PaloAltoCEFVxx
Mürekkep Balığı Ara Sunucusu _Im_WebSession_SquidProxyVxx
Vectra AI Akışları Pack parametresini destekler. _Im_WebSession_VectraAIVxx
Zscaler ZIA CEF kullanılarak toplanır. _Im_WebSessionZscalerZIAVxx

Microsoft Sentinel GitHub deposundan dağıtılan çalışma alanı ayrıştırıcıları sürümünü dağıtın.

Sonraki adımlar

ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:

ASIM hakkında daha fazla bilgi edinin: