Microsoft Sentinel 高级安全信息模型 (ASIM) 分析程序的列表（公共预览版）

本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。有关 ASIM 分析程序的概述，请参阅分析程序概述。若要了解分析程序如何适用于 ASIM 体系结构，请参阅 ASIM 体系结构图。

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

审核事件分析程序

若要使用 ASIM 审核事件分析程序，请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序：

Source	说明	Parser
Azure 活动管理事件	`Administrative` 类别中的 Azure 活动事件（位于 `AzureActivity` 表中）。	`ASimAuditEventAzureActivity`
Exchange 365 管理事件	使用 Office 365 连接器收集的 Exchange 管理事件（位于 `OfficeActivity` 表中）。	`ASimAuditEventMicrosoftOffice365`
Windows 日志清除事件	使用 Log Analytics 代理安全事件连接器或 Azure Monitor 代理安全事件和 WEF 连接器收集的 Windows 事件 1102（使用 `SecurityEvent`、`WindowsEvent` 或 `Event` 表）。	`ASimAuditEventMicrosoftWindowsEvents`

若要使用 ASIM 身份验证分析程序，请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序：

Windows 登录
- 使用 Log Analytics 代理或 Azure Monitor 代理收集。
- 使用安全事件连接器收集到 SecurityEvent 表，或使用 WEF 连接器连接到 WindowsEvent 表。
- 报告为安全事件（4624、4625、4634 和 4647）。
Linux 登录
- 使用 Syslog 报告的 su、sudu 和 sshd 活动。
- 由 Microsoft Defender 报告到 IoT 终结点。
Microsoft Entra 登录，使用 Microsoft Entra 连接器收集。针对常规、非交互式、托管标识和服务主体登录提供了单独的分析器。
PostgreSQL 登录日志。

ASIM DNS 分析程序在每个工作区都可用。 Microsoft Sentinel 提供以下现成的分析程序：

Source	说明	Parser
规范化 DNS 日志	引入 `ASimDnsActivityLogs` 表时规范化任何事件。 Azure Monitor 代理的 DNS 连接器使用 `ASimDnsActivityLogs` 表，受 `_Im_Dns_Native` 分析程序支持。	`_Im_Dns_Native`
Azure 防火墙		`_Im_Dns_AzureFirewallVxx`
Microsoft DNS 服务器	收集方式： - Log Analytics 代理的 DNS 连接器 - Azure Monitor 代理的 DNS 连接器 - NXlog	`_Im_Dns_MicrosoftOMSVxx` 请参阅规范化 DNS 日志。 `_Im_Dns_MicrosoftNXlogVxx`
Sysmon for Windows（事件 22）	收集方式： - Log Analytics 代理 - Azure Monitor 代理这两个代理都支持收集到 `Event` 和 `WindowsEvent` 表。	`_Im_Dns_MicrosoftSysmonVxx`
Zscaler ZIA		`_Im_Dns_ZscalerZIAVxx`

从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

要使用 ASIM 文件活动分析程序，请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序：

ASIM 网络会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序：

Source	说明	Parser
规范化网络会话日志	引入 `ASimNetworkSessionLogs` 表时规范化任何事件。 Azure Monitor 代理的防火墙连接器使用 `ASimNetworkSessionLogs` 表，受 `_Im_NetworkSession_Native` 分析程序支持。	`_Im_NetworkSession_Native`
Azure 防火墙日志		`_Im_NetworkSession_AzureFirewallVxx`
检查点防火墙-1	使用 CEF 收集。	`_Im_NetworkSession_CheckPointFirewallVxx`
Cisco ASA	使用 CEF 连接器收集。	`_Im_NetworkSession_CiscoASAVxx`
Fortigate FortiOS	使用 Syslog 收集的 IP 连接日志。	`_Im_NetworkSession_FortinetFortiGateVxx`
Palo Alto PanOS 流量日志	使用 CEF 收集。	`_Im_NetworkSession_PaloAltoCEFVxx`
Sysmon for Linux（事件 3）	使用 Log Analytics 代理或 Azure Monitor 代理收集。	`_Im_NetworkSession_LinuxSysmonVxx`
Windows 防火墙日志	使用 Log Analytics 代理（Event 表）或 Azure Monitor 代理（WindowsEvent 表）作为 Windows 事件收集。支持 Windows 事件 5150 到 5159。	`_Im_NetworkSession_MicrosoftWindowsEventFirewallVxx`
Zscaler ZIA 防火墙日志	使用 CEF 收集。	`_Im_NetworkSessionZscalerZIAVxx`

从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

若要使用 ASIM 进程事件分析程序，请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序：

若要使用 ASIM 注册事件分析程序，请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序：

ASIM Web 会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序：

Source	说明	Parser
规范化 Web 会话日志	引入 `ASimWebSessionLogs` 表时规范化任何事件。	`_Im_WebSession_NativeVxx`
Internet Information Services (IIS) 日志	使用基于 AMA 或 Log Analytics 代理的 IIS 连接器收集。	`_Im_WebSession_IISVxx`
Palo Alto PanOS 威胁日志	使用 CEF 收集。	`_Im_WebSession_PaloAltoCEFVxx`
Zscaler ZIA	使用 CEF 收集。	`_Im_WebSessionZscalerZIAVxx`

从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

了解有关 ASIM 分析程序的更多信息：

详细了解 ASIM：