مشاركة عبر

قائمة محللات نموذج معلومات الأمان المتقدمة (ASIM) لـMicrosoft Sentinel (معاينة عامة)

  • مقالة

يوفر هذا المستند قائمة بتحليلات نموذج معلومات الأمان المتقدمة (ASIM). للحصول على نظرة عامة على محللات ASIM، راجع نظرة عامة على المحللات. لفهم كيفية احتواء المحلات ضمن بنية نموذج معلومات الأمان المتقدم، راجع مخطط بنية نموذج معلومات الأمان المتقدم.

هام

ASIM في وضع PREVIEW حاليًا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

محللات أحداث التنبيه

لاستخدام محللات أحداث تنبيه ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

Source ملاحظات محلل
تنبيهات Defender XDR أحداث تنبيه Microsoft Defender XDR (في AlertEvidence الجدول). ASimAlertEventMicrosoftDefenderXDR
مفردة SentinelOne أحداث SentinelOne Singularity Threats. (في SentinelOne_CL الجدول). ASimAlertEventSentinelOneSingularity

محللات أحداث التدقيق

لاستخدام محللات أحداث تدقيق ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

Source ملاحظات محلل
الأحداث الإدارية لنشاط Azure أحداث نشاط Azure (في AzureActivity الجدول) في الفئة Administrative. ASimAuditEventAzureActivity
أحداث Exchange 365 الإدارية أحداث Exchange الإدارية التي تم جمعها باستخدام موصل Office 365 (في OfficeActivity الجدول). ASimAuditEventMicrosoftOffice365
حدث مسح سجل Windows تم جمع Windows Event 1102 باستخدام موصل أحداث أمان عامل Log Analytics (قديم) أو أحداث أمان عامل مراقبة Azure وموصلات WEF (باستخدام SecurityEventWindowsEventالجداول أو أو ).Event ASimAuditEventMicrosoftWindowsEvents

محللات المصادقة

لاستخدام محللات مصادقة ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

  • عمليات تسجيل الدخول إلى Windows
    • يتم جمعها باستخدام عامل Azure Monitor أو عامل Log Analytics (قديم).
    • يتم تجميعها باستخدام موصلات أحداث الأمان إلى جدول SecurityEvent أو باستخدام موصل WEF بجدول WindowsEvent.
    • تم الإبلاغ عنها كأحداث أمان (4624 و4625 و4634 و4647).
    • تم الإبلاغ عنها بواسطة Microsoft Defender XDR لنقطة النهاية، والتي تم جمعها باستخدام موصل Microsoft Defender XDR.
  • عمليات تسجيل الدخول إلى Linux
    • تم الإبلاغ عنها بواسطة Microsoft Defender XDR لنقطة النهاية، والتي تم جمعها باستخدام موصل Microsoft Defender XDR.
    • su، sudo، والنشاط sshd الذي تم الإبلاغ عنه باستخدام Syslog.
    • تم الإبلاغ عنها بواسطة Microsoft Defender إلى نقطة نهاية IoT.
  • عمليات تسجيل الدخول إلى Microsoft Entra، التي تم جمعها باستخدام موصل Microsoft Entra. يتم توفير محللات منفصلة لتسجيل الدخول المنتظم وغير التفاعلي والهويات المدارة ومبادئ الخدمة.
  • عمليات تسجيل الدخول إلى AWS، التي تم جمعها باستخدام موصل AWS CloudTrail.
  • مصادقة Okta، التي تم جمعها باستخدام موصل Okta.
  • سجلات تسجيل الدخول إلى PostgreSQL.

محللات DNS

تتوفر محللات ASIM DNS في كل مساحة عمل. يوفر Microsoft Sentinel المحللات الجاهزة التالية:

Source ملاحظات محلل
سجلات DNS التي تمت تسويتها أي حدث تمت تسويته عند الاستيعاب إلى ASimDnsActivityLogs الجدول. يستخدم ASimDnsActivityLogs موصل DNS لعامل Azure Monitor الجدول ويدعمه _Im_Dns_Native المحلل. _Im_Dns_Native
Azure Firewall _Im_Dns_AzureFirewallVxx
Cisco Umbrella _Im_Dns_CiscoUmbrellaVxx
Corelight Zeek _Im_Dns_CorelightZeekVxx
GCP DNS _Im_Dns_GcpVxx
- Infoblox NIOS
- BIND
- BlucCat		 تدعم نفس المحللات مصادر متعددة. _Im_Dns_InfobloxNIOSVxx
Microsoft DNS Server تم جمعها باستخدام:
- موصل DNS لعامل Azure Monitor
- NXlog
- موصل DNS لعامل Log Analytics (قديم)
_Im_Dns_MicrosoftOMSVxx
راجع سجلات DNS العادية.
_Im_Dns_MicrosoftNXlogVxx
Sysmon for Windows (الحدث 22) تم جمعها باستخدام:
- عامل Azure Monitor
- عامل Log Analytics (قديم)

لكلا الوكيلين، يجمع كلاهما إلى
Event والجداول WindowsEvent مدعومة.		 _Im_Dns_MicrosoftSysmonVxx
Vectra الذكاء الاصطناعي _Im_Dns_VectraIAVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

انشر إصدار محللات مساحة العمل المنشورة من مستودع Microsoft Sentinel GitHub.

محللات نشاط الملف

لاستخدام محللات نشاط ملف ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

  • نشاط ملف Windows
    • تم الإبلاغ عنه بواسطة Windows (الحدث 4663):
      • تم جمعها باستخدام موصل أحداث الأمان المستندة إلى عامل Azure Monitor إلى جدول SecurityEvent.
      • تم جمعها باستخدام موصل WEF المستند إلى عامل Azure Monitor (إعادة توجيه أحداث Windows) إلى جدول WindowsEvent.
      • تم جمعها باستخدام موصل أحداث الأمان المستندة إلى عامل تحليلات السجل إلى جدول SecurityEvent (قديم).
    • تم الإبلاغ عنه باستخدام أحداث نشاط ملف Sysmon (الأحداث 11 و23 و26):
      • تم جمعها باستخدام موصل WEF المستند إلى عامل Azure Monitor (إعادة توجيه أحداث Windows) إلى جدول WindowsEvent.
      • تم جمعها باستخدام عامل Log Analytics إلى جدول الأحداث (قديم).
    • تم الإبلاغ عنه بواسطة Microsoft Defender XDR لنقطة النهاية، التي تم جمعها باستخدام موصل Microsoft Defender XDR.
  • Microsoft Office 365 أحداث SharePoint وOneDrive، التي تم جمعها باستخدام موصل نشاط Office.
  • Azure Storage، بما في ذلك Blob وFilage وQueue وTable Storage.

محللات جلسة عمل الشبكة

تتوفر محللات جلسة عمل شبكة ASIM في كل مساحة عمل. يوفر Microsoft Sentinel المحللات الجاهزة التالية:

Source ملاحظات محلل
سجلات جلسة عمل الشبكة التي تمت تسويتها أي حدث تمت تسويته عند الاستيعاب إلى ASimNetworkSessionLogs الجدول. يستخدم ASimNetworkSessionLogs موصل جدار الحماية لعامل Azure Monitor الجدول ويدعمه _Im_NetworkSession_Native المحلل. _Im_NetworkSession_Native
AppGate SDP سجلات اتصال عناوين IP التي تم جمعها باستخدام Syslog. _Im_NetworkSession_AppGateSDPVxx
سجلات AWS VPC تم جمعها باستخدام موصل AWS S3. _Im_NetworkSession_AWSVPCVxx
سجلات Azure Firewall _Im_NetworkSession_AzureFirewallVxx
Azure Monitor VMConnection تم جمعها كجزء من حل Azure Monitor VM Insights. _Im_NetworkSession_VMConnectionVxx
سجلات مجموعات أمان شبكة Azure تم جمعها كجزء من حل Azure Monitor VM Insights. _Im_NetworkSession_AzureNSGVxx
Checkpoint Firewall-1 تم جمعها باستخدام CEF. _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA تم جمعها باستخدام موصل CEF. _Im_NetworkSession_CiscoASAVxx
Cisco Meraki تم جمعها باستخدام موصل Cisco Meraki API. _Im_NetworkSession_CiscoMerakiVxx
Corelight Zeek تم جمعها باستخدام موصل Corelight Zeek. _im_NetworkSession_CorelightZeekVxx
Fortigate FortiOS سجلات اتصال عناوين IP التي تم جمعها باستخدام Syslog. _Im_NetworkSession_FortinetFortiGateVxx
جدار حماية ForcePoint _Im_NetworkSession_ForcePointFirewallVxx
Microsoft Defender XDR لنقطة النهاية _Im_NetworkSession_Microsoft365DefenderVxx
Microsoft Defender for IoT micro agent _Im_NetworkSession_MD4IoTAgentVxx
مستشعر Microsoft Defender ل IoT _Im_NetworkSession_MD4IoTSensorVxx
سجلات نسبة استخدام الشبكة لـPalo Alto PanOS تم جمعها باستخدام CEF. _Im_NetworkSession_PaloAltoCEFVxx
Sysmon لنظام Linux (الحدث 3) يتم جمعها باستخدام عامل Azure Monitor أو عامل Log Analytics (قديم). _Im_NetworkSession_LinuxSysmonVxx
Vectra الذكاء الاصطناعي يدعم معلمة الحزمة. _Im_NetworkSession_VectraIAVxx
Windows Firewall Logs يتم تجميعها كأحداث Windows باستخدام Azure Monitor Agent (جدول WindowsEvent) أو عامل Log Analytics (جدول الأحداث) (قديم). يدعم أحداث Windows من 5150 إلى 5159. _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Watchguard FirewareOW تم جمعها باستخدام Syslog. _Im_NetworkSession_WatchGuardFirewareOSVxx
سجلات جدار حماية Zscaler ZIA تم جمعها باستخدام CEF. _Im_NetworkSessionZscalerZIAVxx

انشر إصدار محللات مساحة العمل المنشورة من مستودع Microsoft Sentinel GitHub.

محللات أحداث العملية

لاستخدام محللات أحداث عملية ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

  • إنشاء عملية أحداث الأمان (الحدث 4688)، التي تم جمعها باستخدام عامل Azure Monitor أو عامل تحليلات السجل (قديم)
  • إنهاء عملية أحداث الأمان (الحدث 4689)، الذي تم جمعه باستخدام عامل Azure Monitor أو عامل تحليلات السجل (قديم)
  • إنشاء عملية Sysmon (الحدث 1) ، التي تم جمعها باستخدام عامل Azure Monitor أو عامل تحليلات السجل (قديم)
  • إنهاء عملية Sysmon (الحدث 5)، التي تم جمعها باستخدام عامل Azure Monitor أو عامل تحليلات السجل (قديم)
  • Microsoft Defender XDR لإنشاء عملية نقطة النهاية

محللات أحداث السجل

لاستخدام محللات أحداث سجل ASIM، انشر المحللات من مستودع Microsoft Sentinel GitHub. يوفر Microsoft Sentinel المحللات التالية في الحزم المنشورة من GitHub:

  • تحديث سجل أحداث الأمان (الأحداث 4657 و4663)، الذي تم جمعه باستخدام عامل Azure Monitor أو عامل Log Analytics (قديم)
  • أحداث مراقبة سجل Sysmon (الأحداث 12 و13 و14) التي تم جمعها باستخدام عامل Azure Monitor أو عامل Log Analytics (قديم)
  • Microsoft Defender XDR لأحداث تسجيل نقطة النهاية

محللات جلسة ويب

تتوفر محللات جلسة عمل ويب ASIM في كل مساحة عمل. يوفر Microsoft Sentinel المحللات الجاهزة التالية:

Source ملاحظات محلل
سجلات جلسة عمل ويب التي تمت تسويتها أي حدث تمت تسويته عند الاستيعاب إلى ASimWebSessionLogs الجدول. _Im_WebSession_NativeVxx
سجلات خدمات معلومات الإنترنت (IIS) يتم جمعها باستخدام عامل Azure Monitor أو موصلات IIS المستندة إلى عامل تحليلات السجل (القديم). _Im_WebSession_IISVxx
سجلات تهديدات Palo Alto PanOS تم جمعها باستخدام CEF. _Im_WebSession_PaloAltoCEFVxx
Squid Proxy _Im_WebSession_SquidProxyVxx
تدفقات Vectra الذكاء الاصطناعي يدعم معلمة الحزمة. _Im_WebSession_VectraAIVxx
Zscaler ZIA تم جمعها باستخدام CEF. _Im_WebSessionZscalerZIAVxx

انشر إصدار محللات مساحة العمل المنشورة من مستودع Microsoft Sentinel GitHub.

الخطوات التالية

تعرف على المزيد حول محللات ASIM:

معرفة المزيد حول ASIM: