A Microsoft Sentinel Advanced Security Information Model (ASIM) elemzőinek listája (nyilvános előzetes verzió)
Ez a dokumentum az Advanced Security Information Model (ASIM) elemzők listáját tartalmazza. Az ASIM-elemzők áttekintéséhez tekintse meg az elemzők áttekintését. Ha szeretné megtudni, hogy az elemzők hogyan illeszkednek az ASIM-architektúrába, tekintse meg az ASIM architektúradiagramot.
Fontos
Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Riasztási eseményelemzők
Az ASIM riasztási eseményelemzők használatához telepítse az elemzőket a Microsoft Sentinel GitHub-adattárból. A Microsoft Sentinel a következő elemzőket biztosítja a GitHubról üzembe helyezett csomagokban:
| Forrás | Jegyzetek | Elemző |
|---|---|---|
| Defender XDR-riasztások | Microsoft Defender XDR riasztási események (a AlertEvidence táblázatban). |
ASimAlertEventMicrosoftDefenderXDR |
| SentinelOne szingularitás | SentinelOne Singularity Threats. események (a SentinelOne_CL táblázatban). |
ASimAlertEventSentinelOneSingularity |
Eseményelemzők naplózása
Az ASIM-naplózási eseményelemzők használatához telepítse az elemzőket a Microsoft Sentinel GitHub-adattárból. A Microsoft Sentinel a következő elemzőket biztosítja a GitHubról üzembe helyezett csomagokban:
| Forrás | Jegyzetek | Elemző |
|---|---|---|
| Azure-tevékenység felügyeleti eseményei | Azure-tevékenységesemények (a AzureActivity táblázatban) a kategóriában Administrative. |
ASimAuditEventAzureActivity |
| Exchange 365 felügyeleti események | Az Office 365-összekötővel (a OfficeActivity táblázatban) gyűjtött Exchange felügyeleti események. |
ASimAuditEventMicrosoftOffice365 |
| Windows-napló törlése esemény | A Windows Event 1102 a Log Analytics-ügynök biztonsági események összekötőjével (örökölt) vagy az Azure Monitor-ügynök biztonsági eseményei és WEF-összekötőivel (a SecurityEvent, WindowsEventvagy Event táblák használatával) gyűjtve. |
ASimAuditEventMicrosoftWindowsEvents |
Hitelesítési elemzők
Az ASIM-hitelesítési elemzők használatához telepítse az elemzőket a Microsoft Sentinel GitHub-adattárból. A Microsoft Sentinel a következő elemzőket biztosítja a GitHubról üzembe helyezett csomagokban:
- Windows-bejelentkezések
- Az Azure Monitor-ügynökkel vagy a Log Analytics-ügynökkel (örökölt) gyűjtve.
- Összegyűjtése a SecurityEvent tábla Biztonsági események összekötőivel vagy a WEF-összekötővel a WindowsEvent táblához.
- Biztonsági eseményként jelentve (4624, 4625, 4634 és 4647).
- a Microsoft Defender XDR for Endpoint által jelentett, a Microsoft Defender XDR-összekötővel gyűjtött adatok.
- Linux-bejelentkezések
- a Microsoft Defender XDR for Endpoint által jelentett, a Microsoft Defender XDR-összekötővel gyűjtött adatok.
su,sudoéssshda Syslog használatával jelentett tevékenység.- A Microsoft Defender jelenti az IoT-végpontnak.
- Microsoft Entra-bejelentkezések, amelyeket a Microsoft Entra-összekötővel gyűjtünk össze. A rendszeres, nem interaktív, felügyelt identitásokhoz és szolgáltatás alapelveihez tartozó bejelentkezésekhez külön elemzőket biztosítunk.
- Az AWS CloudTrail-összekötővel gyűjtött AWS-bejelentkezések.
- Okta-hitelesítés, az Okta-összekötő használatával gyűjtve.
- PostgreSQL bejelentkezési naplók.
DNS-elemzők
Az ASIM DNS-elemzők minden munkaterületen elérhetők. A Microsoft Sentinel a következő beépített elemzőket biztosítja:
| Forrás | Jegyzetek | Elemző |
|---|---|---|
| Normalizált DNS-naplók | A táblázatba való betöltéskor ASimDnsActivityLogs normalizált események. Az Azure Monitor-ügynök DNS-összekötője a ASimDnsActivityLogs táblát használja, és az _Im_Dns_Native elemző támogatja. |
_Im_Dns_Native |
| Azure Firewall | _Im_Dns_AzureFirewallVxx |
|
| Cisco Esernyő | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
| - Infoblox NIOS - KÖT - BlucCat |
Ugyanezek az elemzők több forrást is támogatnak. | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS Server | Gyűjtése a következő használatával történik: - DNS-összekötő az Azure Monitor-ügynökhöz - NXlog - DNS-összekötő a Log Analytics-ügynökhöz (örökölt) |
_Im_Dns_MicrosoftOMSVxxLásd: Normalizált DNS-naplók. _Im_Dns_MicrosoftNXlogVxx |
| Sysmon for Windows (22. esemény) | Gyűjtése a következő használatával történik: - Azure Monitor-ügynök - A Log Analytics-ügynök (örökölt) Mindkét ügynök esetében mindkettő a Event és WindowsEvent a táblák támogatottak. |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
Telepítse a munkaterület üzembe helyezett elemzőverzióját a Microsoft Sentinel GitHub-adattárból.
Fájltevékenység-elemzők
Az ASIM-fájltevékenység-elemzők használatához telepítse az elemzőket a Microsoft Sentinel GitHub-adattárból. A Microsoft Sentinel a következő elemzőket biztosítja a GitHubról üzembe helyezett csomagokban:
- Windows-fájltevékenység
- Windows által jelentett (4663-os esemény):
- Az Azure Monitor Agent-alapú biztonsági események összekötőjével gyűjtve a SecurityEvent táblához.
- Az Azure Monitor Agent-alapú WEF -összekötővel (Windows Event Forwarding) gyűjtve a WindowsEvent táblába.
- A Rendszer a Log Analytics-ügynökön alapuló biztonsági események összekötőjével gyűjti a SecurityEvent táblához (örökölt).
- Sysmon-fájltevékenységek (11., 23. és 26. események) használatával jelentve:
- Az Azure Monitor Agent-alapú WEF -összekötővel (Windows Event Forwarding) gyűjtve a WindowsEvent táblába.
- A Log Analytics-ügynökkel gyűjtött adatok az Esemény táblába (örökölt).
- A Microsoft Defender XDR for Endpoint által jelentett, a Microsoft Defender XDR-összekötővel gyűjtött adatok.
- Windows által jelentett (4663-os esemény):
- Microsoft Office 365 SharePoint- és OneDrive-események, amelyeket az Office Tevékenység összekötővel gyűjtünk össze.
- Azure Storage, például Blob, File, Queue és Table Storage.
Hálózati munkamenet-elemzők
Az ASIM hálózati munkamenet-elemzők minden munkaterületen elérhetők. A Microsoft Sentinel a következő beépített elemzőket biztosítja:
| Forrás | Jegyzetek | Elemző |
|---|---|---|
| Normalizált hálózati munkamenetnaplók | A táblázatba való betöltéskor ASimNetworkSessionLogs normalizált események. Az Azure Monitor-ügynök tűzfal-összekötője a ASimNetworkSessionLogs táblát használja, és az _Im_NetworkSession_Native elemző támogatja. |
_Im_NetworkSession_Native |
| AppGate SDP | A Syslog használatával gyűjtött IP-kapcsolatnaplók. | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC-naplók | Az AWS S3-összekötővel gyűjtve. | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall-naplók | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | Az Azure Monitor VM Insights-megoldás részeként gyűjtve. | _Im_NetworkSession_VMConnectionVxx |
| Az Azure Network Security Groups (NSG) naplói | Az Azure Monitor VM Insights-megoldás részeként gyűjtve. | _Im_NetworkSession_AzureNSGVxx |
| Checkpoint Firewall-1 | A CEF használatával gyűjtve. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | A CEF-összekötővel gyűjtve. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Meraki | A Cisco Meraki API-összekötővel gyűjtve. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | A Corelight Zeek-összekötővel gyűjtve. | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | A Syslog használatával gyűjtött IP-kapcsolatnaplók. | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint-tűzfal | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR végponthoz | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT micro agent | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT-érzékelő | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Palo Alto PanOS forgalmi naplók | A CEF használatával gyűjtve. | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon for Linux (3. esemény) | Az Azure Monitor-ügynökkel vagy a Log Analytics-ügynökkel (örökölt) gyűjtve. | _Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | Támogatja a csomagparamétert . | _Im_NetworkSession_VectraIAVxx |
| Windows tűzfalnaplók | Windows-eseményként gyűjtve az Azure Monitor Agent (WindowsEvent tábla) vagy a Log Analytics-ügynök (eseménytábla) használatával (örökölt). Támogatja az 5150 és 5159 között futó Windows-eseményeket. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | A Syslog használatával gyűjtve. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA tűzfalnaplók | A CEF használatával gyűjtve. | _Im_NetworkSessionZscalerZIAVxx |
Telepítse a munkaterület üzembe helyezett elemzőverzióját a Microsoft Sentinel GitHub-adattárból.
Folyamatesemény-elemzők
Az ASIM-folyamatesemény-elemzők használatához telepítse az elemzőket a Microsoft Sentinel GitHub-adattárból. A Microsoft Sentinel a következő elemzőket biztosítja a GitHubról üzembe helyezett csomagokban:
- Biztonsági események folyamatának létrehozása (Event 4688), az Azure Monitor Agent vagy a Log Analytics-ügynök (örökölt) használatával gyűjtve
- Biztonsági események folyamatának leállítása (Event 4689), az Azure Monitor Agent vagy a Log Analytics Agent (örökölt) használatával gyűjtve
- Sysmon-folyamat létrehozása (1. esemény) az Azure Monitor-ügynökkel vagy a Log Analytics-ügynökkel (örökölt) gyűjtve
- Az Azure Monitor-ügynökkel vagy a Log Analytics-ügynökkel (örökölt) gyűjtött Sysmon-folyamat leállítása (5. esemény)
- Microsoft Defender XDR végpontfolyamat-létrehozáshoz
Beállításjegyzék eseményelemzői
Az ASIM-beállításjegyzék eseményelemzőinek használatához telepítse az elemzőket a Microsoft Sentinel GitHub-adattárból. A Microsoft Sentinel a következő elemzőket biztosítja a GitHubról üzembe helyezett csomagokban:
- Biztonsági események beállításjegyzékének frissítése (4657- és 4663-os események) az Azure Monitor-ügynök vagy a Log Analytics-ügynök (örökölt) használatával gyűjtve
- A Sysmon beállításjegyzék monitorozási eseményei (12., 13. és 14. események) az Azure Monitor Agent vagy a Log Analytics-ügynök (örökölt) használatával gyűjtve
- Microsoft Defender XDR végpontregisztrációs eseményekhez
Webes munkamenet-elemzők
Az ASIM-webmunkamenet-elemzők minden munkaterületen elérhetők. A Microsoft Sentinel a következő beépített elemzőket biztosítja:
| Forrás | Jegyzetek | Elemző |
|---|---|---|
| Normalizált webes munkamenetnaplók | A táblázatba való betöltéskor ASimWebSessionLogs normalizált események. |
_Im_WebSession_NativeVxx |
| Az Internet Information Services (IIS) naplói | Az Azure Monitor-ügynök vagy a Log Analytics-ügynök (örökölt)-alapú IIS-összekötők használatával gyűjtve. | _Im_WebSession_IISVxx |
| Palo Alto PanOS-fenyegetésnaplók | A CEF használatával gyűjtve. | _Im_WebSession_PaloAltoCEFVxx |
| Tintahal-proxy | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI-streamek | Támogatja a csomagparamétert . | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | A CEF használatával gyűjtve. | _Im_WebSessionZscalerZIAVxx |
Telepítse a munkaterület üzembe helyezett elemzőverzióját a Microsoft Sentinel GitHub-adattárból.
Következő lépések
További információk az ASIM-elemzőkről:
További információ az ASIM-ről:
- Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content szolgáltatásban, vagy tekintse át a diákat
- Az Advanced Security Information Model (ASIM) áttekintése
- Advanced Security Information Model (ASIM) sémák
- Advanced Security Information Model (ASIM) tartalom