Microsoft Sentinel 高级安全信息模型 (ASIM) 分析程序的列表(公共预览版)
本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。 有关 ASIM 分析程序的概述,请参阅分析程序概述。 若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
重要
ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
审核事件分析程序
若要使用 ASIM 审核事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
Source | 说明 | Parser |
---|---|---|
Azure 活动管理事件 | Administrative 类别中的 Azure 活动事件(位于 AzureActivity 表中)。 |
ASimAuditEventAzureActivity |
Exchange 365 管理事件 | 使用 Office 365 连接器收集的 Exchange 管理事件(位于 OfficeActivity 表中)。 |
ASimAuditEventMicrosoftOffice365 |
Windows 日志清除事件 | 使用 Log Analytics 代理安全事件连接器或 Azure Monitor 代理安全事件和 WEF 连接器收集的 Windows 事件 1102(使用 SecurityEvent 、WindowsEvent 或 Event 表)。 |
ASimAuditEventMicrosoftWindowsEvents |
身份验证分析程序
若要使用 ASIM 身份验证分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- Windows 登录
- 使用 Log Analytics 代理或 Azure Monitor 代理收集。
- 使用安全事件连接器收集到 SecurityEvent 表,或使用 WEF 连接器连接到 WindowsEvent 表。
- 报告为安全事件(4624、4625、4634 和 4647)。
- Linux 登录
- 使用 Syslog 报告的
su
、sudu
和sshd
活动。 - 由 Microsoft Defender 报告到 IoT 终结点。
- 使用 Syslog 报告的
- Microsoft Entra 登录,使用 Microsoft Entra 连接器收集。 针对常规、非交互式、托管标识和服务主体登录提供了单独的分析器。
- PostgreSQL 登录日志。
DNS 分析程序
ASIM DNS 分析程序在每个工作区都可用。 Microsoft Sentinel 提供以下现成的分析程序:
Source | 说明 | Parser |
---|---|---|
规范化 DNS 日志 | 引入 ASimDnsActivityLogs 表时规范化任何事件。 Azure Monitor 代理的 DNS 连接器使用 ASimDnsActivityLogs 表,受 _Im_Dns_Native 分析程序支持。 |
_Im_Dns_Native |
Azure 防火墙 | _Im_Dns_AzureFirewallVxx |
|
Microsoft DNS 服务器 | 收集方式: - Log Analytics 代理的 DNS 连接器 - Azure Monitor 代理的 DNS 连接器 - NXlog |
_Im_Dns_MicrosoftOMSVxx 请参阅规范化 DNS 日志。 _Im_Dns_MicrosoftNXlogVxx |
Sysmon for Windows(事件 22) | 收集方式: - Log Analytics 代理 - Azure Monitor 代理 这两个代理都支持收集到 Event 和 WindowsEvent 表。 |
_Im_Dns_MicrosoftSysmonVxx |
Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
|
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
文件活动分析程序
要使用 ASIM 文件活动分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- Windows 文件活动
- 由 Windows(事件 4663)报告:
- 使用基于 Log Analytics 代理的安全事件连接器收集到 SecurityEvent 表。
- 使用基于 Azure Monitor 代理的安全事件连接器收集到 SecurityEvent 表。
- 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
- 使用 Sysmon 文件活动事件(事件 11、23 和 26)报告:
- 使用 Log Analytics 代理收集到 Event 表。
- 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
- 由 Windows(事件 4663)报告:
- 使用 Office 活动连接器收集的 Microsoft Office 365 SharePoint 和 OneDrive 事件。
- Azure 存储,包括 Blob、文件、队列和表存储。
网络会话分析程序
ASIM 网络会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:
Source | 说明 | Parser |
---|---|---|
规范化网络会话日志 | 引入 ASimNetworkSessionLogs 表时规范化任何事件。 Azure Monitor 代理的防火墙连接器使用 ASimNetworkSessionLogs 表,受 _Im_NetworkSession_Native 分析程序支持。 |
_Im_NetworkSession_Native |
Azure 防火墙日志 | _Im_NetworkSession_AzureFirewallVxx |
|
检查点防火墙-1 | 使用 CEF 收集。 | _Im_NetworkSession_CheckPointFirewallVxx |
Cisco ASA | 使用 CEF 连接器收集。 | _Im_NetworkSession_CiscoASAVxx |
Fortigate FortiOS | 使用 Syslog 收集的 IP 连接日志。 | _Im_NetworkSession_FortinetFortiGateVxx |
Palo Alto PanOS 流量日志 | 使用 CEF 收集。 | _Im_NetworkSession_PaloAltoCEFVxx |
Sysmon for Linux(事件 3) | 使用 Log Analytics 代理 或 Azure Monitor 代理收集。 |
_Im_NetworkSession_LinuxSysmonVxx |
Windows 防火墙日志 | 使用 Log Analytics 代理(Event 表)或 Azure Monitor 代理(WindowsEvent 表)作为 Windows 事件收集。 支持 Windows 事件 5150 到 5159。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
Zscaler ZIA 防火墙日志 | 使用 CEF 收集。 | _Im_NetworkSessionZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
进程事件分析程序
若要使用 ASIM 进程事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- 使用 Log Analytics 代理或 Azure Monitor 代理收集的“安全事件进程创建(事件 4688)”
- 使用 Log Analytics 代理或 Azure Monitor 代理收集的“安全事件进程终止(事件 4689)”
- 使用 Log Analytics 代理或 Azure Monitor 代理收集的“系统进程创建(事件 1)”
- 使用 Log Analytics 代理或 Azure Monitor 代理收集的“系统进程终止(事件 5)”
注册表事件分析程序
若要使用 ASIM 注册事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- 使用 Log Analytics 代理或 Azure Monitor 代理收集的安全事件注册表更新(事件 4657 和 4663)
- 使用 Log Analytics 代理或 Azure Monitor 代理收集的 Sysmon 注册表监视事件(事件 12、13 和 14)
Web 会话分析程序
ASIM Web 会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:
Source | 说明 | Parser |
---|---|---|
规范化 Web 会话日志 | 引入 ASimWebSessionLogs 表时规范化任何事件。 |
_Im_WebSession_NativeVxx |
Internet Information Services (IIS) 日志 | 使用基于 AMA 或 Log Analytics 代理的 IIS 连接器收集。 | _Im_WebSession_IISVxx |
Palo Alto PanOS 威胁日志 | 使用 CEF 收集。 | _Im_WebSession_PaloAltoCEFVxx |
Zscaler ZIA | 使用 CEF 收集。 | _Im_WebSessionZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
后续步骤
了解有关 ASIM 分析程序的更多信息:
详细了解 ASIM: