你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。 有关 ASIM 分析程序的概述,请参阅分析程序概述。 若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
警报事件分析器
若要使用 ASIM 警报事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
| Source | 说明 | Parser |
|---|---|---|
| Defender XDR 警报 | Microsoft Defender XDR 警报事件(表中 AlertEvidence )。 |
ASimAlertEventMicrosoftDefenderXDR |
| SentinelOne Singularity | SentinelOne Singularity Threats. 事件(在 SentinelOne_CL 表中)。 |
ASimAlertEventSentinelOneSingularity |
审核事件分析程序
若要使用 ASIM 审核事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
| Source | 说明 | Parser |
|---|---|---|
| Azure 活动管理事件 |
AzureActivity 类别中的 Azure 活动事件(位于 Administrative 表中)。 |
ASimAuditEventAzureActivity |
| Exchange 365 管理事件 | 使用 Office 365 连接器收集的 Exchange 管理事件(位于 OfficeActivity 表中)。 |
ASimAuditEventMicrosoftOffice365 |
| Windows 日志清除事件 | 使用 Log Analytics 代理安全事件连接器(旧版)或 Azure Monitor 代理安全事件和 WEF 连接器(使用 SecurityEvent、WindowsEvent 或 Event 表)收集的 Windows 事件 1102。 |
ASimAuditEventMicrosoftWindowsEvents |
身份验证分析程序
若要使用 ASIM 身份验证分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- Windows 登录
- 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。
- 使用安全事件连接器收集到 SecurityEvent 表,或使用 WEF 连接器连接到 WindowsEvent 表。
- 报告为安全事件(4624、4625、4634 和 4647)。
- 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
- Linux 登录
- 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
- 使用 Syslog 报告的
su、sudo和sshd活动。 - 由 Microsoft Defender 报告到 IoT 终结点。
- Microsoft Entra 登录,使用 Microsoft Entra 连接器收集。 针对常规、非交互式、托管标识和服务主体登录提供了单独的分析器。
- 使用 AWS CloudTrail 连接器收集的 AWS 登录。
- 使用 Okta 连接器收集的 Okta 身份验证。
- PostgreSQL 登录日志。
DNS 分析程序
ASIM DNS 分析程序在每个工作区都可用。 Microsoft Sentinel 提供以下现成的分析程序:
| Source | 说明 | Parser |
|---|---|---|
| 规范化 DNS 日志 | 引入 ASimDnsActivityLogs 表时规范化任何事件。 Azure Monitor 代理的 DNS 连接器使用 ASimDnsActivityLogs 表,受 _Im_Dns_Native 分析程序支持。 |
_Im_Dns_Native |
| Azure 防火墙 | _Im_Dns_AzureFirewallVxx |
|
| Cisco Umbrella | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | _Im_Dns_CorelightZeekVxx |
|
| GCP DNS | _Im_Dns_GcpVxx |
|
|
-
Infoblox NIOS - BIND - BlucCat |
同一分析程序支持多个源。 | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS 服务器 | 收集方式: - Azure Monitor 代理的 DNS 连接器 - NXlog - Log Analytics 代理的 DNS 连接器(旧版) |
_Im_Dns_MicrosoftOMSVxx请参阅规范化 DNS 日志。 _Im_Dns_MicrosoftNXlogVxx |
| Sysmon for Windows(事件 22) | 收集方式: - Azure Monitor 代理 - Log Analytics 代理(旧版) 这两个代理都支持收集到 Event 和 WindowsEvent 表。 |
_Im_Dns_MicrosoftSysmonVxx |
| Vectra AI | _Im_Dns_VectraIAVxx |
|
| Zscaler ZIA | _Im_Dns_ZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
文件活动分析程序
要使用 ASIM 文件活动分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- Windows 文件活动
- 由 Windows(事件 4663)报告:
- 使用基于 Azure Monitor 代理的安全事件连接器收集到 SecurityEvent 表。
- 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
- 使用基于 Log Analytics 代理的安全事件连接器收集到 SecurityEvent 表(旧版)。
- 使用 Sysmon 文件活动事件(事件 11、23 和 26)报告:
- 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
- 使用 Log Analytics 代理收集到事件表(旧版)。
- 由 Microsoft Defender XDR for Endpoint 报告,使用 Microsoft Defender XDR 连接器收集。
- 由 Windows(事件 4663)报告:
- 使用 Office 活动连接器收集的 Microsoft Office 365 SharePoint 和 OneDrive 事件。
- Azure 存储,包括 Blob、文件、队列和表存储。
网络会话分析程序
ASIM 网络会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:
| Source | 说明 | Parser |
|---|---|---|
| 规范化网络会话日志 | 引入 ASimNetworkSessionLogs 表时规范化任何事件。 Azure Monitor 代理的防火墙连接器使用 ASimNetworkSessionLogs 表,受 _Im_NetworkSession_Native 分析程序支持。 |
_Im_NetworkSession_Native |
| AppGate SDP | 使用 Syslog 收集的 IP 连接日志。 | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC 日志 | 使用 AWS S3 连接器收集。 | _Im_NetworkSession_AWSVPCVxx |
| Azure 防火墙日志 | _Im_NetworkSession_AzureFirewallVxx |
|
| Azure Monitor VMConnection | 作为 Azure Monitor VM 见解解决方案的一部分收集。 | _Im_NetworkSession_VMConnectionVxx |
| Azure 网络安全组 (NSG) 日志 | 作为 Azure Monitor VM 见解解决方案的一部分收集。 | _Im_NetworkSession_AzureNSGVxx |
| 检查点防火墙-1 | 使用 CEF 收集。 | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | 使用 CEF 连接器收集。 | _Im_NetworkSession_CiscoASAVxx |
| 思科 Meraki | 使用 Cisco Meraki API 连接器收集。 | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | 使用 Corelight Zeek 连接器收集。 | _im_NetworkSession_CorelightZeekVxx |
| Fortigate FortiOS | 使用 Syslog 收集的 IP 连接日志。 | _Im_NetworkSession_FortinetFortiGateVxx |
| ForcePoint 防火墙 | _Im_NetworkSession_ForcePointFirewallVxx |
|
| Microsoft Defender XDR for Endpoint | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Defender for IoT 微代理 | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT 传感器 | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Palo Alto PanOS 流量日志 | 使用 CEF 收集。 | _Im_NetworkSession_PaloAltoCEFVxx |
| Sysmon for Linux(事件 3) | 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。 | _Im_NetworkSession_LinuxSysmonVxx |
| Vectra AI | 支持 pack 参数。 | _Im_NetworkSession_VectraIAVxx |
| Windows 防火墙日志 | 使用 Azure Monitor 代理(WindowsEvent 表)或 Log Analytics 代理(事件表)(旧版)作为 Windows 事件收集。 支持 Windows 事件 5150 到 5159。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Watchguard FirewareOW | 使用 Syslog 收集。 | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA 防火墙日志 | 使用 CEF 收集。 | _Im_NetworkSessionZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
进程事件分析程序
若要使用 ASIM 进程事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- 安全事件进程创建(事件 4688),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- 安全事件进程终止(事件 4689),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Sysmon 进程创建(事件 1),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Sysmon 进程终止(事件 5),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Microsoft Defender XDR for Endpoint 进程创建
注册表事件分析程序
若要使用 ASIM 注册事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:
- 安全事件注册表更新(事件 4657 和 4663),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Sysmon 注册表监控事件(事件 12、13 和 14),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
- Microsoft Endpoint 注册表事件的 Defender XDR
Web 会话分析程序
ASIM Web 会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:
| Source | 说明 | Parser |
|---|---|---|
| 规范化 Web 会话日志 | 引入 ASimWebSessionLogs 表时规范化任何事件。 |
_Im_WebSession_NativeVxx |
| Internet Information Services (IIS) 日志 | 通过使用基于 Azure Monitor 代理或 Log Analytics 代理(旧版)的 IIS 连接器收集。 | _Im_WebSession_IISVxx |
| Palo Alto PanOS 威胁日志 | 使用 CEF 收集。 | _Im_WebSession_PaloAltoCEFVxx |
| Squid 代理 | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI 流 | 支持 pack 参数。 | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | 使用 CEF 收集。 | _Im_WebSessionZscalerZIAVxx |
从 Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。
后续步骤
了解有关 ASIM 分析程序的更多信息:
详细了解 ASIM: