Microsoft Sentinel 高级安全信息模型（ASIM）分析程序列表

重要

注意： 2026 年 8 月 18 日，根据世纪互联发布的公告，所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。有关 ASIM 分析程序的概述，请参阅分析程序概述。若要了解分析程序如何适用于 ASIM 体系结构，请参阅 ASIM 体系结构图。

审核事件分析器

Source	说明	Parser
规范化审核事件日志	引入 `ASimAuditEventLogs` 表时规范化任何事件。	`_Im_AuditEvent_Native`
Azure 活动	`AzureActivity` 类别中的 Azure 活动事件（位于 `Administrative` 表中）。	`_Im_AuditEvent_AzureActivityVxx`
Microsoft事件	Windows `Event` 表中收集的审核事件	`_Im_AuditEvent_MicrosoftEventVxx`
Microsoft Exchange 365	使用 Office 365 连接器收集的 Exchange 管理事件（位于 `OfficeActivity` 表中）。	`_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx`
Microsoft安全事件	Windows使用 Azure Monitor 代理收集的事件 1102（使用 `SecurityEvent` 表）。	`_Im_AuditEvent_MicrosoftSecurityEventsVxx`
Microsoft Windows 事件	Windows使用 Azure Monitor 代理收集的事件 1102（使用 `WindowsEvent` 表）。	`_Im_AuditEvent_MicrosoftWindowsEventsVxx`

身份验证分析程序

Source	说明	Parser
规范化身份验证日志	引入 `ASimAuthenticationEventLogs` 表时规范化任何事件。	`_Im_Authentication_Native`
Cisco ASA	使用 CEF 收集的 Cisco ASA 事件。	`_Im_Authentication_CiscoASAVxx`
Microsoft Entra ID	Microsoft Entra ID登录，使用 Microsoft Entra 连接器收集常规登录。	`_Im_Authentication_AADSigninLogsVxx`
Microsoft Entra ID （非交互）	使用非交互式登录的 Microsoft Entra 连接器收集的Microsoft Entra ID登录。	`_Im_Authentication_AADNonInteractiveVxx`
Microsoft Entra ID （托管标识）	Microsoft Entra ID使用托管标识登录的 Microsoft Entra 连接器收集的登录。	`_Im_Authentication_AADManagedIdentityVxx`
Microsoft Entra ID（服务主体）	Microsoft Entra ID登录，使用服务主体登录的 Microsoft Entra 连接器收集。	`_Im_Authentication_AADServicePrincipalSignInLogsVxx`
Microsoft Windows 事件	Windows登录（事件 4624、4625、4634、4647）使用 Azure Monitor 代理或 Log Analytics 代理收集到 `SecurityEvent` 或 `WindowsEvent` 表。	`_Im_Authentication_MicrosoftWindowsEventVxx`
Palo Alto Cortex Data Lake	Palo Alto Cortex Data Lake 事件。	`_Im_Authentication_PaloAltoCortexDataLakeVxx`
PostgreSQL	PostgreSQL 登录日志。	`_Im_Authentication_PostgreSQLVxx`
Linux Sshd	使用 Syslog 报告的 Linux sshd 活动。	`_Im_Authentication_SshdVxx`
Linux Su	使用 Syslog 报告的 Linux su 活动。	`_Im_Authentication_SuVxx`
Linux Sudo	使用 Syslog 报告的 Linux sudo 活动。	`_Im_Authentication_SudoVxx`

DNS 分析程序

Source	说明	Parser
规范化 DNS 日志	引入 `ASimDnsActivityLogs` 表时规范化任何事件。 Azure Monitor代理的 DNS 连接器使用 `ASimDnsActivityLogs` 表。	`_Im_Dns_Native`
Azure 防火墙	Azure Firewall DNS 日志。	`_Im_Dns_AzureFirewallVxx`
Fortinet FortiGate	Fortinet FortiGate DNS 日志。	`_Im_Dns_FortinetFortigateVxx`
Microsoft DNS 服务器	使用 Log Analytics 代理的 DNS 连接器收集（旧版）。	`_Im_Dns_MicrosoftOMSVxx`
Zscaler ZIA	Zscaler ZIA DNS 日志。	`_Im_Dns_ZscalerZIAVxx`

文件活动分析程序

Source	说明	Parser
规范化文件事件日志	引入 `ASimFileEventLogs` 表时规范化任何事件。	`_Im_FileEvent_Native`
Azure Blob 存储	Azure Blob Storage文件事件。	`_Im_FileEvent_AzureBlobStorageVxx`
Azure文件存储	Azure文件存储事件。	`_Im_FileEvent_AzureFileStorageVxx`
Azure 队列存储	Azure Queue Storage事件。	`_Im_FileEvent_AzureQueueStorageVxx`
Azure 表存储	Azure Table Storage事件。	`_Im_FileEvent_AzureTableStorageVxx`
Microsoft安全事件	Windows使用安全事件连接器收集的文件事件（事件 4663）。	`_Im_FileEvent_MicrosoftSecurityEventsVxx`
Microsoft SharePoint	使用 Office 活动连接器收集的Microsoft Office 365 SharePoint和OneDrive事件。	`_Im_FileEvent_MicrosoftSharePointVxx`
Microsoft Windows 事件	Windows文件事件（事件 4663）收集到 `WindowsEvent` 表。	`_Im_FileEvent_MicrosoftWindowsEventsVxx`

网络会话分析程序

Source	说明	Parser
规范化网络会话日志	引入 `ASimNetworkSessionLogs` 表时规范化任何事件。 Azure Monitor代理的防火墙连接器使用此表。	`_Im_NetworkSession_Native`
Azure 防火墙	Azure Firewall网络日志。	`_Im_NetworkSession_AzureFirewallVxx`
Azure Monitor VMConnection	收集为 Azure Monitor VM Insights 解决方案的一部分。	`_Im_NetworkSession_VMConnectionVxx`
检查点防火墙	使用 CEF 收集的检查点防火墙事件。	`_Im_NetworkSession_CheckPointFirewallVxx`
Cisco ASA	使用 CEF 收集的 Cisco ASA 事件。	`_Im_NetworkSession_CiscoASAVxx`
Microsoft Windows 防火墙	Windows 使用 Azure Monitor 代理或Log Analytics代理收集的防火墙事件（事件 5150-5159）。	`_Im_NetworkSession_MicrosoftWindowsEventFirewallVxx`
Microsoft Windows Security事件防火墙	Windows通过安全事件连接器收集的防火墙事件。	`_Im_NetworkSession_MicrosoftSecurityEventFirewallVxx`
Palo Alto PanOS	使用 CEF 收集的 Palo Alto PanOS 流量日志。	`_Im_NetworkSession_PaloAltoCEFVxx`
Palo Alto Cortex Data Lake	Palo Alto Cortex Data Lake 事件。	`_Im_NetworkSession_PaloAltoCortexDataLakeVxx`
Zscaler ZIA	使用 CEF 收集的 Zscaler ZIA 防火墙日志。	`_Im_NetworkSession_ZscalerZIAVxx`

进程事件分析程序

Source	说明	Parser
规范化进程事件日志	引入 `ASimProcessEventLogs` 表时规范化任何事件。	`_Im_ProcessEvent_Native`
Microsoft安全事件（创建）	Windows Security事件进程创建事件（事件 4688）。	`_Im_ProcessCreate_MicrosoftSecurityEventsVxx`
Microsoft安全事件（终止）	Windows Security事件处理终止事件（事件 4689）。	`_Im_ProcessTerminate_MicrosoftSecurityEventsVxx`
Microsoft Windows 事件（创建）	Windows进程事件（事件 4688）收集到 `WindowsEvent` 表中。	`_Im_ProcessCreate_MicrosoftWindowsEventsVxx`
Microsoft Windows 事件（terminate）	Windows进程事件（事件 4689）收集到 `WindowsEvent` 表。	`_Im_ProcessTerminate_MicrosoftWindowsEventsVxx`

注册表事件分析程序

Source	说明	Parser
规范化注册表事件日志	引入 `ASimRegistryEventLogs` 表时规范化任何事件。	`_Im_RegistryEvent_Native`
Microsoft安全事件	Windows Security事件注册表事件（事件 4657、4663）。	`_Im_RegistryEvent_MicrosoftSecurityEventVxx`
Microsoft Windows 事件	Windows收集到 `WindowsEvent` 表的注册表事件。	`_Im_RegistryEvent_MicrosoftWindowsEventVxx`

用户管理分析程序

Source	说明	Parser
规范化用户管理日志	引入 `ASimUserManagementLogs` 表时规范化任何事件。	`_Im_UserManagement_Native`
Microsoft安全事件	Windows Security事件用户管理事件。	`_Im_UserManagement_MicrosoftSecurityEventVxx`
Microsoft Windows 事件	Windows收集到 `WindowsEvent` 表的用户管理事件。	`_Im_UserManagement_MicrosoftWindowsEventVxx`

Web 会话分析程序

Source	说明	Parser
规范化 Web 会话日志	引入 `ASimWebSessionLogs` 表时规范化任何事件。	`_Im_WebSession_Native`
Azure 防火墙	Azure Firewall Web 会话日志。	`_Im_WebSession_AzureFirewallVxx`
Palo Alto PanOS	使用 CEF 收集的 Palo Alto PanOS 威胁日志。	`_Im_WebSession_PaloAltoCEFVxx`
Palo Alto Cortex Data Lake	Palo Alto Cortex Data Lake 事件。	`_Im_WebSession_PaloAltoCortexDataLakeVxx`
Zscaler ZIA	使用 CEF 收集的 Zscaler ZIA Web 日志。	`_Im_WebSession_ZscalerZIAVxx`

后续步骤

了解有关 ASIM 分析程序的更多信息：

详细了解 ASIM：

Last updated on 2026-03-19