このドキュメントでは、高度なセキュリティ情報モデル (ASIM) パーサーの一覧について説明します。 ASIM パーサーの概要については、パーサーの概要を参照してください。 パーサーが ASIM アーキテクチャにどのように組み込まれているかを理解するには、ASIM アーキテクチャの図を参照してください。
アラート イベント パーサー
| ソース | 注 | パーサー |
|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR アラート イベント ( AlertEvidence 表)。 |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
| SentinelOne Singularity | SentinelOne Singularity の脅威イベント ( SentinelOne_CL テーブル内)。 |
_Im_AlertEvent_SentinelOneSingularityVxx |
イベント パーサーの監査
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された監査イベント ログ |
ASimAuditEventLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_AuditEvent_Native |
| Azure アクティビティ | カテゴリ AzureActivity 内の Azure アクティビティ イベント (Administrative テーブル内)。 |
_Im_AuditEvent_AzureActivityVxx |
| Barracuda CEF | CEF を使用して収集された Barracuda イベント。 | _Im_AuditEvent_BarracudaCEFVxx |
| Barracuda WAF | Barracuda WAF イベント。 | _Im_AuditEvent_BarracudaWAFVxx |
| Cisco ISE | Cisco ISE イベント。 | _Im_AuditEvent_CiscoISEVxx |
| Cisco Meraki | API コネクタまたは Syslog を使用して収集された Cisco Meraki イベント。 | _Im_AuditEvent_CiscoMerakiVxx |
| CrowdStrike Falcon | CrowdStrike Falcon Host イベント。 | _Im_AuditEvent_CrowdStrikeFalconVxx |
| Illumio SaaS Core | Illumio SaaS Core イベント。 | _Im_AuditEvent_IllumioSaaSCoreVxx |
| Infoblox BloxOne | Infoblox BloxOne イベント。 | _Im_AuditEvent_InfobloxBloxOneVxx |
| Microsoft Exchange 365 | Office 365 コネクタを使用して収集された Exchange 管理イベント (OfficeActivity テーブル内)。 |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
| Microsoft Windows イベント | Azure Monitor エージェントを使用して収集された Windows イベント 1102 ( SecurityEvent テーブルまたは WindowsEvent テーブルを使用)。 |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | SentinelOne イベント。 | _Im_AuditEvent_SentinelOneVxx |
| Vectra XDR | Vectra XDR 監査イベント。 | _Im_AuditEvent_VectraXDRAuditVxx |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud イベント。 | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
認証パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された認証ログ |
ASimAuthenticationEventLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_Authentication_Native |
| AWS CloudTrail | AWS CloudTrail コネクタを使用して収集された AWS サインイン。 | _Im_Authentication_AWSCloudTrailVxx |
| Barracuda WAF | Barracuda WAF イベント。 | _Im_Authentication_BarracudaWAFVxx |
| Cisco ASA | CEF を使用して収集された Cisco ASA イベント。 | _Im_Authentication_CiscoASAVxx |
| Cisco ISE | Cisco ISE イベント。 | _Im_Authentication_CiscoISEVxx |
| Cisco Meraki | API コネクタまたは Syslog を使用して収集された Cisco Meraki イベント。 | _Im_Authentication_CiscoMerakiVxx |
| CrowdStrike Falcon | CrowdStrike Falcon Host イベント。 | _Im_Authentication_CrowdStrikeFalconVxx |
| Google ワークスペース | Google Workspace のサインイン。 | _Im_Authentication_GoogleWorkspaceVxx |
| Illumio SaaS Core | Illumio SaaS Core イベント。 | _Im_Authentication_IllumioSaaSCoreVxx |
| Microsoft Defender XDR | Windows および Linux 用の Microsoft Defender XDR for Endpoint サインイン。 | _Im_Authentication_M365DefenderVxx |
| Microsoft Entra ID | Microsoft Entra コネクタを使用して収集された Microsoft Entra ID サインイン。 通常の、非対話型、マネージド ID、サービス プリンシパルのサインイン用にパーサーを分離します。 | _Im_Authentication_AADSigninLogsVxx_Im_Authentication_AADNonInteractiveVxx_Im_Authentication_AADManagedIdentityVxx_Im_Authentication_AADServicePrincipalSignInLogsVxx |
| Microsoft Windows イベント | Azure Monitor エージェントまたは Log Analytics WindowsEventSecurityEvent エージェントを使用して収集された Windows サインイン (イベント 4624、4625、4634、4647)。 |
_Im_Authentication_MicrosoftWindowsEventVxx |
| Okta | Okta 認証。Okta コネクタ (V1 OSS および V2) を使用して収集されます。 | _Im_Authentication_OktaOSSVxx_Im_Authentication_OktaV2Vxx |
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake イベント。 | _Im_Authentication_PaloAltoCortexDataLakeVxx |
| PostgreSQL | PostgreSQL サインイン ログ。 | _Im_Authentication_PostgreSQLVxx |
| Salesforce Service Cloud | Salesforce Service Cloud イベント。 | _Im_Authentication_SalesforceSCVxx |
| SentinelOne | SentinelOne イベント。 | _Im_Authentication_SentinelOneVxx |
| Linux Sshd | Syslog を使用して報告された Linux sshd アクティビティ。 | _Im_Authentication_SshdVxx |
| Linux Su | Syslog を使用して報告された Linux su アクティビティ。 | _Im_Authentication_SuVxx |
| Linux Sudo | Syslog を使用して報告された Linux sudo アクティビティ。 | _Im_Authentication_SudoVxx |
| Vectra XDR | Vectra XDR 監査イベント。 | _Im_Authentication_VectraXDRAuditVxx |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud イベント。 | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP イベント パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された DHCP イベント ログ |
ASimDhcpEventLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_DhcpEvent_Native |
| Infoblox BloxOne | Infoblox BloxOne DHCP イベント。 | _Im_DhcpEvent_InfobloxBloxOneVxx |
DNS パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された DNS ログ |
ASimDnsActivityLogs テーブルへの取り込み時に正規化されたすべてのイベント。 Azure Monitor エージェントの DNS コネクタでは、 ASimDnsActivityLogs テーブルが使用されます。 |
_Im_Dns_Native |
| Azure Firewall | Azure Firewall DNS ログ。 | _Im_Dns_AzureFirewallVxx |
| Cisco Umbrella | Cisco Umbrella DNS ログ。 | _Im_Dns_CiscoUmbrellaVxx |
| Corelight Zeek | Corelight Zeek DNS ログ。 | _Im_Dns_CorelightZeekVxx |
| Fortinet FortiGate | Fortinet FortiGate DNS ログ。 | _Im_Dns_FortinetFortigateVxx |
| GCP DNS | Google Cloud Platform の DNS ログ。 | _Im_Dns_GcpVxx |
| Infoblox BloxOne | Infoblox BloxOne DNS イベント。 | _Im_Dns_InfobloxBloxOneVxx |
| Infoblox NIOS | Infoblox NIOS、BIND、および BlueCat DNS サーバー。 同じパーサーが複数のソースをサポートしています。 | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS サーバー | Log Analytics エージェント (レガシ) の DNS コネクタを使用して収集されます。 | _Im_Dns_MicrosoftOMSVxx |
| Microsoft DNS Server (NXlog) | NXlog を使用して収集された Microsoft DNS サーバー。 | _Im_Dns_MicrosoftNXlogVxx |
| Microsoft Sysmon for Windows | Azure Monitor エージェントまたは Log Analytics エージェント (レガシ) を使用して収集された Sysmon DNS イベント (イベント 22 WindowsEventEvent)。 |
_Im_Dns_MicrosoftSysmonVxx |
| SentinelOne | SentinelOne DNS イベント。 | _Im_Dns_SentinelOneVxx |
| Vectra AI | Vectra AI DNS イベント。 | _Im_Dns_VectraAIVxx |
| Zscaler ZIA | Zscaler ZIA DNS ログ。 | _Im_Dns_ZscalerZIAVxx |
ファイル アクティビティ パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化されたファイル イベント ログ |
ASimFileEventLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_FileEvent_Native |
| Azure Blob Storage | Azure Blob Storage ファイル イベント。 | _Im_FileEvent_AzureBlobStorageVxx |
| Azure File Storage | Azure File Storage イベント。 | _Im_FileEvent_AzureFileStorageVxx |
| Azure Queue Storage | Azure Queue Storage イベント。 | _Im_FileEvent_AzureQueueStorageVxx |
| Azure Table Storage | Azure Table Storage イベント。 | _Im_FileEvent_AzureTableStorageVxx |
| Google ワークスペース | Google Workspace ファイル イベント。 | _Im_FileEvent_GoogleWorkspaceVxx |
| Linux Sysmon | Sysmon for Linux ファイルの作成および削除されたイベント (イベント 11、23)。 | _Im_FileEvent_LinuxSysmonFileCreatedVxx_Im_FileEvent_LinuxSysmonFileDeletedVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint ファイル イベント。 | _Im_FileEvent_Microsoft365DVxx |
| Microsoft セキュリティ イベント | セキュリティ イベント コネクタを使用して収集された Windows ファイル イベント (イベント 4663)。 | _Im_FileEvent_MicrosoftSecurityEventsVxx |
| Microsoft SharePoint | Office アクティビティ コネクタを使用して収集された Microsoft Office 365 SharePoint および OneDrive イベント。 | _Im_FileEvent_MicrosoftSharePointVxx |
| Microsoft Sysmon for Windows |
EventテーブルまたはWindowsEvent テーブルに収集された Windows ファイル イベント (イベント 11、23、26) の Sysmon。 |
_Im_FileEvent_MicrosoftSysmonVxx |
| Microsoft Windows イベント |
WindowsEvent テーブルに収集された Windows ファイル イベント (イベント 4663)。 |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | SentinelOne ファイル イベント。 | _Im_FileEvent_SentinelOneVxx |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud ファイル イベント。 | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
ネットワーク セッション パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化されたネットワーク セッション ログ |
ASimNetworkSessionLogs テーブルへの取り込み時に正規化されたすべてのイベント。 Azure Monitor エージェントのファイアウォール コネクタでは、このテーブルを使用します。 |
_Im_NetworkSession_Native |
| AppGate SDP | Syslog を使用して収集された IP 接続ログ。 | _Im_NetworkSession_AppGateSDPVxx |
| AWS VPC ログ | AWS S3 コネクタを使用して収集されます。 | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall | Azure Firewall ネットワーク ログ。 | _Im_NetworkSession_AzureFirewallVxx |
| Azure NSG | Azure ネットワーク セキュリティ グループのフロー ログ。 | _Im_NetworkSession_AzureNSGVxx |
| Azure Monitor VMConnection | Azure Monitor VM Insights ソリューションの一部として収集されます。 | _Im_NetworkSession_VMConnectionVxx |
| Barracuda CEF | CEF を使用して収集された Barracuda イベント。 | _Im_NetworkSession_BarracudaCEFVxx |
| Barracuda WAF | Barracuda WAF イベント。 | _Im_NetworkSession_BarracudaWAFVxx |
| チェックポイント ファイアウォール | CEF を使用して収集されたチェックポイント ファイアウォール イベント。 | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | CEF を使用して収集された Cisco ASA イベント。 | _Im_NetworkSession_CiscoASAVxx |
| Cisco Firepower | Cisco Firepower イベント。 | _Im_NetworkSession_CiscoFirepowerVxx |
| Cisco ISE | Cisco ISE イベント。 | _Im_NetworkSession_CiscoISEVxx |
| Cisco Meraki | API コネクタまたは Syslog を使用して収集された Cisco Meraki イベント。 | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Corelight Zeek ネットワーク イベント。 | _Im_NetworkSession_CorelightZeekVxx |
| CrowdStrike Falcon | CrowdStrike Falcon Host イベント。 | _Im_NetworkSession_CrowdStrikeFalconVxx |
| ForcePoint ファイアウォール | ForcePoint Firewall イベント。 | _Im_NetworkSession_ForcePointFirewallVxx |
| Fortinet FortiGate | Syslog を使用して収集された Fortinet FortiGate ファイアウォール イベント。 | _Im_NetworkSession_FortinetFortiGateVxx |
| Illumio SaaS Core | Illumio SaaS Core イベント。 | _Im_NetworkSession_IllumioSaaSCoreVxx |
| Microsoft Defender for IoT | Microsoft Defender for IoT マイクロ エージェントとセンサー イベント。 | _Im_NetworkSession_MD4IoTAgentVxx_Im_NetworkSession_MD4IoTSensorVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint ネットワーク イベント。 | _Im_NetworkSession_Microsoft365DefenderVxx |
| Linux 用 Microsoft Sysmon | Sysmon for Linux ネットワーク イベント (イベント 3)。 | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
| Microsoft Sysmon for Windows |
Eventテーブルまたは WindowsEvent テーブルに収集された Windows ネットワーク イベント (イベント 3) の Sysmon。 |
_Im_NetworkSession_MicrosoftSysmonVxx |
| Microsoft Windows ファイアウォール | Azure Monitor エージェントまたは Log Analytics エージェントを使用して収集された Windows ファイアウォール イベント (イベント 5150-5159)。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Microsoft Windows セキュリティ イベント ファイアウォール | セキュリティ イベント コネクタを介して収集された Windows ファイアウォール イベント。 | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
| NTA NetAnalytics | ネットワーク トラフィック分析イベント。 | _Im_NetworkSession_NTANetAnalyticsVxx |
| Palo Alto PanOS | CEF を使用して収集された Palo Alto PanOS トラフィック ログ。 | _Im_NetworkSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake イベント。 | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
| SentinelOne | SentinelOne ネットワーク イベント。 | _Im_NetworkSession_SentinelOneVxx |
| SonicWall Firewall | SonicWall Firewall イベント。 | _Im_NetworkSession_SonicWallFirewallVxx |
| Vectra AI | Vectra AI ネットワーク イベント。 pack パラメーターをサポートします。 | _Im_NetworkSession_VectraAIVxx |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud ネットワーク イベント。 | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
| WatchGuard Fireware OS | Syslog を使用して収集された WatchGuard Fireware OS イベント。 | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA | CEF を使用して収集された Zscaler ZIA ファイアウォール ログ。 | _Im_NetworkSession_ZscalerZIAVxx |
プロセス イベント パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化されたプロセス イベント ログ |
ASimProcessEventLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_ProcessEvent_Native |
| Linux Sysmon | Sysmon for Linux プロセス作成イベント (イベント 1)。 | _Im_ProcessCreate_LinuxSysmonVxx |
| Microsoft Defender for IoT | Microsoft Defender for IoT プロセス イベント。 | _Im_ProcessEvent_MD4IoTVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint プロセス イベント。 | _Im_ProcessEvent_Microsoft365DVxx |
| Microsoft セキュリティ イベント | Windows セキュリティ イベント プロセスの作成と終了 (イベント 4688、4689)。 | _Im_ProcessCreate_MicrosoftSecurityEventsVxx_Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
| Microsoft Sysmon for Windows | Sysmon for Windows プロセス イベント (イベント 1、5) は、 Event テーブルまたは WindowsEvent テーブルに収集されます。 |
_Im_ProcessCreate_MicrosoftSysmonVxx_Im_ProcessTerminate_MicrosoftSysmonVxx |
| Microsoft Windows イベント |
WindowsEvent テーブルに収集された Windows プロセス イベント。 |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
| SentinelOne | SentinelOne プロセス イベント。 | _Im_ProcessCreate_SentinelOneVxx |
| Trend Micro Vision One | Trend Micro Vision One プロセス イベント。 | _Im_ProcessCreate_TrendMicroVisionOneVxx |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud プロセス イベント。 | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx_Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
レジストリ イベント パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化されたレジストリ イベント ログ |
ASimRegistryEventLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_RegistryEvent_Native |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint レジストリ イベント。 | _Im_RegistryEvent_Microsoft365DVxx |
| Microsoft セキュリティ イベント | Windows セキュリティ イベント レジストリ イベント (イベント 4657、4663)。 | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
| Microsoft Sysmon for Windows |
EventテーブルまたはWindowsEvent テーブルに収集された Windows レジストリ イベント (イベント 12、13、14) の Sysmon。 |
_Im_RegistryEvent_MicrosoftSysmonVxx |
| Microsoft Windows イベント |
WindowsEvent テーブルに収集された Windows レジストリ イベント。 |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
| SentinelOne | SentinelOne レジストリ イベント。 | _Im_RegistryEvent_SentinelOneVxx |
| Trend Micro Vision One | Trend Micro Vision One レジストリ イベント。 | _Im_RegistryEvent_TrendMicroVisionOneVxx |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud レジストリ イベント。 | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
ユーザー管理パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化されたユーザー管理ログ |
ASimUserManagementLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_UserManagement_Native |
| Cisco ISE | Cisco ISE ユーザー管理イベント。 | _Im_UserManagement_CiscoISEVxx |
| Linux Authpriv | Linux authpriv ユーザー管理イベント。 | _Im_UserManagement_LinuxAuthprivVxx |
| Microsoft セキュリティ イベント | Windows セキュリティ イベントのユーザー管理イベント。 | _Im_UserManagement_MicrosoftSecurityEventVxx |
| Microsoft Windows イベント |
WindowsEvent テーブルに収集された Windows ユーザー管理イベント。 |
_Im_UserManagement_MicrosoftWindowsEventVxx |
| SentinelOne | SentinelOne ユーザー管理イベント。 | _Im_UserManagement_SentinelOneVxx |
Web セッション パーサー
| ソース | 注 | パーサー |
|---|---|---|
| 正規化された Web セッション ログ |
ASimWebSessionLogs テーブルへの取り込み時に正規化されたすべてのイベント。 |
_Im_WebSession_Native |
| Apache HTTP サーバー | Apache HTTP サーバー ログ。 | _Im_WebSession_ApacheHTTPServerVxx |
| Azure Firewall | Azure Firewall Web セッション ログ。 | _Im_WebSession_AzureFirewallVxx |
| Barracuda CEF | CEF を使用して収集された Barracuda イベント。 | _Im_WebSession_BarracudaCEFVxx |
| Barracuda WAF | Barracuda WAF イベント。 | _Im_WebSession_BarracudaWAFVxx |
| Cisco Firepower | Cisco Firepower Web イベント。 | _Im_WebSession_CiscoFirepowerVxx |
| Cisco Meraki | Cisco Meraki Web イベント。 | _Im_WebSession_CiscoMerakiVxx |
| Citrix NetScaler | Citrix NetScaler Web イベント。 | _Im_WebSession_CitrixNetScalerVxx |
| F5 ASM | F5 ASM Web イベント。 | _Im_WebSession_F5ASMVxx |
| Fortinet FortiGate | Fortinet FortiGate Web セッション ログ。 | _Im_WebSession_FortinetFortiGateVxx |
| インターネット インフォメーション サービス (IIS) | Azure Monitor エージェントまたは Log Analytics エージェントを使用して収集された IIS ログ。 | _Im_WebSession_IISVxx |
| Palo Alto PanOS | CEF を使用して収集された Palo Alto PanOS 脅威ログ。 | _Im_WebSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake イベント。 | _Im_WebSession_PaloAltoCortexDataLakeVxx |
| SonicWall Firewall | SonicWall Firewall Web イベント。 | _Im_WebSession_SonicWallFirewallVxx |
| Squid Proxy | Squid Proxy Web ログ。 | _Im_WebSession_SquidProxyVxx |
| Vectra AI | Vectra AI Web イベント。 pack パラメーターをサポートします。 | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | CEF を使用して収集された Zscaler ZIA Web ログ。 | _Im_WebSession_ZscalerZIAVxx |
次のステップ
ASIM パーサーの詳細については、次を参照してください。
ASIM の詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) コンテンツ