Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este documento se proporciona una lista de analizadores del Modelo avanzado de información de seguridad (ASIM) Para obtener información general sobre los analizadores del ASIM, consulte la información general sobre los analizadores. Para entender cómo encajan los analizadores en la arquitectura de ASIM, consulte el diagrama de la arquitectura de ASIM.
Analizadores de eventos de alerta
| Origen | Notas | Analizador |
|---|---|---|
| Microsoft Defender XDR | Eventos de alerta XDR de Microsoft Defender (en la AlertEvidence tabla). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
| Singularidad de SentinelOne | Eventos de amenazas de Singularity de SentinelOne (en la SentinelOne_CL tabla). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analizadores de eventos de auditoría
| Origen | Notas | Analizador |
|---|---|---|
| Registros de eventos de auditoría normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimAuditEventLogs. |
_Im_AuditEvent_Native |
| Actividad de Azure | Eventos de actividad de Azure (en la tabla AzureActivity) de la categoría Administrative. |
_Im_AuditEvent_AzureActivityVxx |
| Barracuda CEF | Eventos barracuda recopilados mediante CEF. | _Im_AuditEvent_BarracudaCEFVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
| Cisco ISE | Eventos de Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
| Cisco Meraki | Eventos de Cisco Meraki recopilados mediante el conector de API o Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
| CrowdStrike Falcon | Eventos de CrowdStrike Falcon Host. | _Im_AuditEvent_CrowdStrikeFalconVxx |
| Illumio SaaS Core | Eventos de Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
| Infoblox BloxOne | Eventos de Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
| Microsoft Exchange 365 | Eventos administrativos de Exchange recopilados mediante el conector de Office 365 (en la tabla OfficeActivity). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
| Eventos de Microsoft Windows | Evento de Windows 1102 recopilado mediante el agente de Azure Monitor (mediante las SecurityEvent tablas o WindowsEvent ). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
| Vectra XDR | Eventos de auditoría de Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
| Nube negra de carbono de VMware | Eventos de VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
Analizadores de autenticación
| Origen | Notas | Analizador |
|---|---|---|
| Registros de autenticación normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimAuthenticationEventLogs. |
_Im_Authentication_Native |
| AWS CloudTrail | Inicios de sesión de AWS, recopilados mediante el conector AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_Authentication_BarracudaWAFVxx |
| Cisco ASA | Eventos de Cisco ASA recopilados mediante CEF. | _Im_Authentication_CiscoASAVxx |
| Cisco ISE | Eventos de Cisco ISE. | _Im_Authentication_CiscoISEVxx |
| Cisco Meraki | Eventos de Cisco Meraki recopilados mediante el conector de API o Syslog. | _Im_Authentication_CiscoMerakiVxx |
| CrowdStrike Falcon | Eventos de CrowdStrike Falcon Host. | _Im_Authentication_CrowdStrikeFalconVxx |
| Google Workspace | Inicios de sesión de Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
| Illumio SaaS Core | Eventos de Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
| Microsoft Defender XDR | Inicios de sesión XDR de Microsoft Defender para punto de conexión para Windows y Linux. | _Im_Authentication_M365DefenderVxx |
| Microsoft Entra ID | Inicios de sesión de Id. de Microsoft Entra, recopilados mediante el conector de Microsoft Entra. Separe los analizadores para inicios de sesión normales, no interactivos, identidades administradas e inicios de sesión de entidad de servicio. | _Im_Authentication_AADSigninLogsVxx_Im_Authentication_AADNonInteractiveVxx_Im_Authentication_AADManagedIdentityVxx_Im_Authentication_AADServicePrincipalSignInLogsVxx |
| Eventos de Microsoft Windows | Inicios de sesión de Windows (eventos 4624, 4625, 4634, 4647) recopilados mediante el agente de Azure Monitor o el agente de Log Analytics en las SecurityEvent tablas o WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
| Okta | Autenticación de Okta, recopilada mediante el conector de Okta (V1 OSS y V2). | _Im_Authentication_OktaOSSVxx_Im_Authentication_OktaV2Vxx |
| Palo Alto Cortex Data Lake | Eventos de Palo Alto Cortex Data Lake. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
| PostgreSQL | Registros de inicio de sesión de PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
| Salesforce Service Cloud | Eventos de Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
| SentinelOne | Eventos SentinelOne. | _Im_Authentication_SentinelOneVxx |
| Linux Sshd | Actividad sshd de Linux notificada mediante Syslog. | _Im_Authentication_SshdVxx |
| Linux Su | Actividad su de Linux notificada mediante Syslog. | _Im_Authentication_SuVxx |
| Linux Sudo | Actividad de sudo de Linux notificada mediante Syslog. | _Im_Authentication_SudoVxx |
| Vectra XDR | Eventos de auditoría de Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
| Nube negra de carbono de VMware | Eventos de VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analizadores de eventos DHCP
| Origen | Notas | Analizador |
|---|---|---|
| Registros de eventos DHCP normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimDhcpEventLogs. |
_Im_DhcpEvent_Native |
| Infoblox BloxOne | Eventos DHCP de Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
Analizadores de DNS
| Origen | Notas | Analizador |
|---|---|---|
| Registros DNS normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimDnsActivityLogs. El conector DNS para el agente de Azure Monitor usa la ASimDnsActivityLogs tabla . |
_Im_Dns_Native |
| Azure Firewall | Registros dns de Azure Firewall. | _Im_Dns_AzureFirewallVxx |
| Cisco Umbrella | Registros dns de Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
| Corelight Zeek | Registros dns de Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
| Fortinet FortiGate | Registros dns de FortiGate fortiGate. | _Im_Dns_FortinetFortigateVxx |
| DNS de GCP | Registros DNS de Google Cloud Platform. | _Im_Dns_GcpVxx |
| Infoblox BloxOne | Eventos DNS de Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
| Infoblox NIOS | Servidores DNS de Infoblox NIOS, BIND y BlueCat. El mismo analizador admite varios orígenes. | _Im_Dns_InfobloxNIOSVxx |
| Servidor DNS de Microsoft | Se recopila mediante el conector DNS para el agente de Log Analytics (heredado). | _Im_Dns_MicrosoftOMSVxx |
| Servidor DNS de Microsoft (NXlog) | Servidor DNS de Microsoft recopilado mediante NXlog. | _Im_Dns_MicrosoftNXlogVxx |
| Microsoft Sysmon para Windows | Eventos DNS de Sysmon (evento 22) recopilados mediante el agente de Azure Monitor o el agente de Log Analytics (heredado) en las Event tablas o WindowsEvent . |
_Im_Dns_MicrosoftSysmonVxx |
| SentinelOne | Eventos DNS de SentinelOne. | _Im_Dns_SentinelOneVxx |
| Vectra AI | Eventos dns de Vectra AI. | _Im_Dns_VectraAIVxx |
| Zscaler ZIA | Registros DNS de Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analizadores de actividad de archivos
| Origen | Notas | Analizador |
|---|---|---|
| Registros de eventos de archivos normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimFileEventLogs. |
_Im_FileEvent_Native |
| Azure Blob Storage | Eventos de archivo de Azure Blob Storage. | _Im_FileEvent_AzureBlobStorageVxx |
| Azure File Storage | Eventos de Azure File Storage. | _Im_FileEvent_AzureFileStorageVxx |
| Azure Queue Storage | Eventos de Azure Queue Storage. | _Im_FileEvent_AzureQueueStorageVxx |
| Azure Table Storage | Eventos de Azure Table Storage. | _Im_FileEvent_AzureTableStorageVxx |
| Google Workspace | Eventos de archivo de Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
| Linux Sysmon | Sysmon para eventos creados y eliminados de archivos de Linux (eventos 11, 23). | _Im_FileEvent_LinuxSysmonFileCreatedVxx_Im_FileEvent_LinuxSysmonFileDeletedVxx |
| Microsoft Defender XDR | Eventos de archivo XDR de Microsoft Defender para punto de conexión. | _Im_FileEvent_Microsoft365DVxx |
| Eventos de seguridad de Microsoft | Eventos de archivo de Windows (evento 4663) recopilados mediante el conector de eventos de seguridad. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
| Microsoft SharePoint | Eventos de Microsoft Office 365 SharePoint y OneDrive, recopilados mediante el conector de actividad de Office. | _Im_FileEvent_MicrosoftSharePointVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de archivo de Windows (eventos 11, 23, 26) recopilados en las Event tablas o WindowsEvent . |
_Im_FileEvent_MicrosoftSysmonVxx |
| Eventos de Microsoft Windows | Eventos de archivo de Windows (evento 4663) recopilados en la WindowsEvent tabla. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos de archivo SentinelOne. | _Im_FileEvent_SentinelOneVxx |
| Nube negra de carbono de VMware | Eventos de archivo de VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
Analizadores de sesiones de red
| Origen | Notas | Analizador |
|---|---|---|
| Registros de sesión de red normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimNetworkSessionLogs. El conector de firewall para el agente de Azure Monitor usa esta tabla. |
_Im_NetworkSession_Native |
| AppGate SDP | Registros de conexión IP recopilados mediante Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Registros de AWS VPC | Recopilados mediante el conector AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall | Registros de red de Azure Firewall. | _Im_NetworkSession_AzureFirewallVxx |
| Grupo de seguridad de red de Azure | Registros de flujo de grupos de seguridad de red de Azure. | _Im_NetworkSession_AzureNSGVxx |
| VMConnection de Azure Monitor | Se recopila como parte de la solución VM Insights de Azure Monitor. | _Im_NetworkSession_VMConnectionVxx |
| Barracuda CEF | Eventos barracuda recopilados mediante CEF. | _Im_NetworkSession_BarracudaCEFVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
| Firewall de punto de control | Eventos de firewall de punto de control recopilados mediante CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Eventos de Cisco ASA recopilados mediante CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Firepower | Eventos de Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
| Cisco ISE | Eventos de Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
| Cisco Meraki | Eventos de Cisco Meraki recopilados mediante el conector de API o Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Eventos de red de Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
| CrowdStrike Falcon | Eventos de CrowdStrike Falcon Host. | _Im_NetworkSession_CrowdStrikeFalconVxx |
| Firewall ForcePoint | Eventos de Firewall de ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
| Fortinet FortiGate | Eventos de firewall de Fortinet FortiGate recopilados mediante Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Illumio SaaS Core | Eventos de Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
| Microsoft Defender para IoT | Eventos de microagente y sensor de Microsoft Defender para IoT. | _Im_NetworkSession_MD4IoTAgentVxx_Im_NetworkSession_MD4IoTSensorVxx |
| Microsoft Defender XDR | Eventos de red de XDR de Microsoft Defender para punto de conexión. | _Im_NetworkSession_Microsoft365DefenderVxx |
| Microsoft Sysmon para Linux | Sysmon para eventos de red de Linux (evento 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de red de Windows (evento 3) recopilados en las Event tablas o WindowsEvent . |
_Im_NetworkSession_MicrosoftSysmonVxx |
| Microsoft Windows Firewall | Eventos de Firewall de Windows (eventos 5150-5159) recopilados mediante el agente de Azure Monitor o el agente de Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Firewall de eventos de seguridad de Microsoft Windows | Eventos de Firewall de Windows recopilados a través del conector de eventos de seguridad. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
| NTA NetAnalytics | Eventos de Análisis de tráfico de red. | _Im_NetworkSession_NTANetAnalyticsVxx |
| Palo Alto PanOS | Registros de tráfico de Palo Alto PanOS recopilados mediante CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Eventos de Palo Alto Cortex Data Lake. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
| SentinelOne | Eventos de red sentinelOne. | _Im_NetworkSession_SentinelOneVxx |
| SonicWall Firewall | Eventos de SonicWall Firewall. | _Im_NetworkSession_SonicWallFirewallVxx |
| Vectra AI | Eventos de red de Vectra AI. Admite el parámetro pack. | _Im_NetworkSession_VectraAIVxx |
| Nube negra de carbono de VMware | Eventos de red de VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
| WatchGuard Fireware OS | WatchGuard Fireware OS eventos recopilados mediante Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA | Registros de firewall de Zscaler ZIA recopilados mediante CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analizadores de eventos de proceso
| Origen | Notas | Analizador |
|---|---|---|
| Registros de eventos de proceso normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimProcessEventLogs. |
_Im_ProcessEvent_Native |
| Linux Sysmon | Sysmon para eventos de creación de procesos de Linux (evento 1). | _Im_ProcessCreate_LinuxSysmonVxx |
| Microsoft Defender para IoT | Eventos de proceso de Microsoft Defender para IoT. | _Im_ProcessEvent_MD4IoTVxx |
| Microsoft Defender XDR | Eventos de proceso de XDR de Microsoft Defender para punto de conexión. | _Im_ProcessEvent_Microsoft365DVxx |
| Eventos de seguridad de Microsoft | Eventos de seguridad de Windows proceso de creación y finalización (eventos 4688, 4689). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx_Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de proceso de Windows (eventos 1, 5) recopilados en las Event tablas o WindowsEvent . |
_Im_ProcessCreate_MicrosoftSysmonVxx_Im_ProcessTerminate_MicrosoftSysmonVxx |
| Eventos de Microsoft Windows | Eventos de proceso de Windows recopilados en la WindowsEvent tabla. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
| SentinelOne | SentinelOne procesa eventos. | _Im_ProcessCreate_SentinelOneVxx |
| Trend Micro Vision One | Eventos de proceso de Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
| Nube negra de carbono de VMware | Eventos de proceso de VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx_Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
Analizadores de eventos del Registro
| Origen | Notas | Analizador |
|---|---|---|
| Registros de eventos del Registro normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimRegistryEventLogs. |
_Im_RegistryEvent_Native |
| Microsoft Defender XDR | Eventos del registro XDR de Microsoft Defender para punto de conexión. | _Im_RegistryEvent_Microsoft365DVxx |
| Eventos de seguridad de Microsoft | Eventos del Registro de eventos de seguridad de Windows (eventos 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos del Registro de Windows (eventos 12, 13, 14) recopilados en las Event tablas o WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
| Eventos de Microsoft Windows | Eventos del Registro de Windows recopilados en la WindowsEvent tabla. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
| SentinelOne | Eventos del registro SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
| Trend Micro Vision One | Eventos del registro de Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
| Nube negra de carbono de VMware | Eventos del registro de VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
Analizadores de administración de usuarios
| Origen | Notas | Analizador |
|---|---|---|
| Registros de administración de usuarios normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimUserManagementLogs. |
_Im_UserManagement_Native |
| Cisco ISE | Eventos de administración de usuarios de Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
| Linux Authpriv | Eventos de administración de usuarios authpriv de Linux. | _Im_UserManagement_LinuxAuthprivVxx |
| Eventos de seguridad de Microsoft | Eventos de seguridad de Windows eventos de administración de usuarios. | _Im_UserManagement_MicrosoftSecurityEventVxx |
| Eventos de Microsoft Windows | Eventos de administración de usuarios de Windows recopilados en la WindowsEvent tabla. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
| SentinelOne | Eventos de administración de usuarios de SentinelOne. | _Im_UserManagement_SentinelOneVxx |
Analizadores de sesiones web
| Origen | Notas | Analizador |
|---|---|---|
| Registros de sesión web normalizados | Cualquier evento normalizado en la ingesta en la tabla ASimWebSessionLogs. |
_Im_WebSession_Native |
| Servidor HTTP de Apache | Registros del servidor HTTP de Apache. | _Im_WebSession_ApacheHTTPServerVxx |
| Azure Firewall | Registros de sesión web de Azure Firewall. | _Im_WebSession_AzureFirewallVxx |
| Barracuda CEF | Eventos barracuda recopilados mediante CEF. | _Im_WebSession_BarracudaCEFVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_WebSession_BarracudaWAFVxx |
| Cisco Firepower | Eventos web de Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
| Cisco Meraki | Eventos web de Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
| Citrix NetScaler | Eventos web de Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
| F5 ASM | Eventos web F5 ASM. | _Im_WebSession_F5ASMVxx |
| Fortinet FortiGate | Registros de sesión web de FortiGate para Fortinet. | _Im_WebSession_FortinetFortiGateVxx |
| internet Information Services (IIS) | Registros de IIS recopilados mediante el agente de Azure Monitor o el agente de Log Analytics. | _Im_WebSession_IISVxx |
| Palo Alto PanOS | Registros de amenazas de Palo Alto PanOS recopilados mediante CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Eventos de Palo Alto Cortex Data Lake. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
| SonicWall Firewall | Eventos web de SonicWall Firewall. | _Im_WebSession_SonicWallFirewallVxx |
| Squid Proxy | Registros web de Proxy de Squid. | _Im_WebSession_SquidProxyVxx |
| Vectra AI | Eventos web de Vectra AI. Admite el parámetro pack. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Registros web de Zscaler ZIA recopilados mediante CEF. | _Im_WebSession_ZscalerZIAVxx |
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Uso de analizadores de ASIM
- Desarrollo de analizadores de ASIM personalizados
- Administración de analizadores de ASIM
Más información sobre ASIM:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)