Microsoft Sentinel 高级安全信息模型 (ASIM) 分析程序的列表(公共预览版)

本文档提供了高级安全信息模型 (ASIM) 分析程序的列表。 有关 ASIM 分析程序的概述,请参阅分析程序概述。 若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

审核事件分析程序

若要使用 ASIM 审核事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

Source 说明 Parser
Azure 活动管理事件 Administrative 类别中的 Azure 活动事件(位于 AzureActivity 表中)。 ASimAuditEventAzureActivity
Exchange 365 管理事件 使用 Office 365 连接器收集的 Exchange 管理事件(位于 OfficeActivity 表中)。 ASimAuditEventMicrosoftOffice365
Windows 日志清除事件 使用 Log Analytics 代理安全事件连接器(旧版)或 Azure Monitor 代理安全事件和 WEF 连接器(使用 SecurityEventWindowsEventEvent 表)收集的 Windows 事件 1102。 ASimAuditEventMicrosoftWindowsEvents

身份验证分析程序

若要使用 ASIM 身份验证分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • Windows 登录
    • 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。
    • 使用安全事件连接器收集到 SecurityEvent 表,或使用 WEF 连接器连接到 WindowsEvent 表。
    • 报告为安全事件(4624、4625、4634 和 4647)。
  • Linux 登录
    • 使用 Syslog 报告的 susudusshd 活动。
    • 由 Microsoft Defender 报告到 IoT 终结点。
  • Microsoft Entra 登录,使用 Microsoft Entra 连接器收集。 针对常规、非交互式、托管标识和服务主体登录提供了单独的分析器。
  • PostgreSQL 登录日志。

DNS 分析程序

ASIM DNS 分析程序在每个工作区都可用。 Microsoft Sentinel 提供以下现成的分析程序:

Source 说明 Parser
规范化 DNS 日志 引入 ASimDnsActivityLogs 表时规范化任何事件。 Azure Monitor 代理的 DNS 连接器使用 ASimDnsActivityLogs 表,受 _Im_Dns_Native 分析程序支持。 _Im_Dns_Native
Azure 防火墙 _Im_Dns_AzureFirewallVxx
Microsoft DNS 服务器 收集方式:
- Azure Monitor 代理的 DNS 连接器
- NXlog
- Log Analytics 代理的 DNS 连接器(旧版)

_Im_Dns_MicrosoftOMSVxx
请参阅规范化 DNS 日志。
_Im_Dns_MicrosoftNXlogVxx
Sysmon for Windows(事件 22) 收集方式:
- Azure Monitor 代理
- Log Analytics 代理(旧版)

这两个代理都支持收集到
EventWindowsEvent 表。
_Im_Dns_MicrosoftSysmonVxx
Zscaler ZIA _Im_Dns_ZscalerZIAVxx

Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

文件活动分析程序

要使用 ASIM 文件活动分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • Windows 文件活动
    • 由 Windows(事件 4663)报告:
      • 使用基于 Azure Monitor 代理的安全事件连接器收集到 SecurityEvent 表。
      • 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
      • 使用基于 Log Analytics 代理的安全事件连接器收集到 SecurityEvent 表(旧版)。
    • 使用 Sysmon 文件活动事件(事件 11、23 和 26)报告:
      • 使用基于 Azure Monitor 代理的 WEF(Windows 事件转发)连接器收集到 WindowsEvent 表。
      • 使用 Log Analytics 代理收集到事件表(旧版)。
  • 使用 Office 活动连接器收集的 Microsoft Office 365 SharePoint 和 OneDrive 事件。
  • Azure 存储,包括 Blob、文件、队列和表存储。

网络会话分析程序

ASIM 网络会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:

Source 说明 Parser
规范化网络会话日志 引入 ASimNetworkSessionLogs 表时规范化任何事件。 Azure Monitor 代理的防火墙连接器使用 ASimNetworkSessionLogs 表,受 _Im_NetworkSession_Native 分析程序支持。 _Im_NetworkSession_Native
Azure 防火墙日志 _Im_NetworkSession_AzureFirewallVxx
检查点防火墙-1 使用 CEF 收集。 _Im_NetworkSession_CheckPointFirewallVxx
Cisco ASA 使用 CEF 连接器收集。 _Im_NetworkSession_CiscoASAVxx
Fortigate FortiOS 使用 Syslog 收集的 IP 连接日志。 _Im_NetworkSession_FortinetFortiGateVxx
Palo Alto PanOS 流量日志 使用 CEF 收集。 _Im_NetworkSession_PaloAltoCEFVxx
Sysmon for Linux(事件 3) 通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集。 _Im_NetworkSession_LinuxSysmonVxx
Windows 防火墙日志 使用 Azure Monitor 代理(WindowsEvent 表)或 Log Analytics 代理(事件表)(旧版)作为 Windows 事件收集。 支持 Windows 事件 5150 到 5159。 _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx
Zscaler ZIA 防火墙日志 使用 CEF 收集。 _Im_NetworkSessionZscalerZIAVxx

Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

进程事件分析程序

若要使用 ASIM 进程事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • 安全事件进程创建(事件 4688),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • 安全事件进程终止(事件 4689),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Sysmon 进程创建(事件 1),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Sysmon 进程终止(事件 5),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集

注册表事件分析程序

若要使用 ASIM 注册事件分析程序,请从 Microsoft Sentinel GitHub 存储库部署分析程序。 Microsoft Sentinel 在从 GitHub 部署的包中提供以下分析程序:

  • 安全事件注册表更新(事件 4657 和 4663),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集
  • Sysmon 注册表监控事件(事件 12、13 和 14),通过使用 Azure Monitor 代理或 Log Analytics 代理(旧版)收集

Web 会话分析程序

ASIM Web 会话分析程序在每个工作区中都可用。 Microsoft Sentinel 提供以下现成的分析程序:

Source 说明 Parser
规范化 Web 会话日志 引入 ASimWebSessionLogs 表时规范化任何事件。 _Im_WebSession_NativeVxx
Internet Information Services (IIS) 日志 通过使用基于 Azure Monitor 代理或 Log Analytics 代理(旧版)的 IIS 连接器收集。 _Im_WebSession_IISVxx
Palo Alto PanOS 威胁日志 使用 CEF 收集。 _Im_WebSession_PaloAltoCEFVxx
Zscaler ZIA 使用 CEF 收集。 _Im_WebSessionZscalerZIAVxx

Microsoft Sentinel GitHub 存储库部署工作区部署的分析程序版本。

后续步骤

了解有关 ASIM 分析程序的更多信息:

详细了解 ASIM: