Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este documento fornece uma lista de analisadores do ASIM (Modelo avançado de informações de segurança). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral de analisadores. Para entender como os analisadores se encaixam na arquitetura do ASIM, consulte o diagrama de arquitetura do ASIM.
Analisadores de eventos de alerta
| Origem | Observações | Analisador |
|---|---|---|
| Microsoft Defender XDR | Eventos de alerta do Microsoft Defender XDR (na AlertEvidence tabela). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
| Singularidade do SentinelOne | Eventos de ameaça sentinelone singularity (na SentinelOne_CL tabela). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analisadores de eventos de auditoria
| Origem | Observações | Analisador |
|---|---|---|
| Logs de eventos de auditoria normalizados | Qualquer evento normalizado na ingestão para a tabela ASimAuditEventLogs. |
_Im_AuditEvent_Native |
| Atividades do Azure | Eventos de Atividade do Azure (na tabela AzureActivity) na categoria Administrative. |
_Im_AuditEvent_AzureActivityVxx |
| Barracuda CEF | Eventos barracuda coletados usando CEF. | _Im_AuditEvent_BarracudaCEFVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
| Cisco ISE | Eventos do Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
| Cisco Meraki | Eventos do Cisco Meraki coletados usando o conector de API ou o Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
| CrowdStrike Falcon | Eventos do CrowdStrike Falcon Host. | _Im_AuditEvent_CrowdStrikeFalconVxx |
| Illumio SaaS Core | Eventos illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
| Infoblox BloxOne | Eventos BloxOne do Infoblox. | _Im_AuditEvent_InfobloxBloxOneVxx |
| Microsoft Exchange 365 | Eventos administrativos do Exchange coletados usando o conector do Office 365 (na tabela OfficeActivity). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
| Eventos do Microsoft Windows | Evento do Windows 1102 coletado usando o Agente do Azure Monitor (usando as tabelas ou WindowsEvent as SecurityEvent tabelas). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
| Vectra XDR | Eventos de auditoria do Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
| Nuvem Negra de Carbono VMware | Eventos do VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
Analisadores de autenticação
| Origem | Observações | Analisador |
|---|---|---|
| Logs de autenticação normalizados | Qualquer evento normalizado na ingestão para a tabela ASimAuthenticationEventLogs. |
_Im_Authentication_Native |
| AWS CloudTrail | Entradas do AWS, coletadas usando o conector AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_Authentication_BarracudaWAFVxx |
| Cisco ASA | Eventos cisco ASA coletados usando CEF. | _Im_Authentication_CiscoASAVxx |
| Cisco ISE | Eventos do Cisco ISE. | _Im_Authentication_CiscoISEVxx |
| Cisco Meraki | Eventos do Cisco Meraki coletados usando o conector de API ou o Syslog. | _Im_Authentication_CiscoMerakiVxx |
| CrowdStrike Falcon | Eventos do CrowdStrike Falcon Host. | _Im_Authentication_CrowdStrikeFalconVxx |
| Google Workspace | Entradas do Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
| Illumio SaaS Core | Eventos illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
| Microsoft Defender XDR | Entradas do Microsoft Defender XDR para Ponto de Extremidade para Windows e Linux. | _Im_Authentication_M365DefenderVxx |
| Microsoft Entra ID | Entradas do Microsoft Entra ID, coletadas usando o conector do Microsoft Entra. Analisadores separados para entradas regulares, não interativas, de identidades gerenciadas e de entidade de serviço. | _Im_Authentication_AADSigninLogsVxx_Im_Authentication_AADNonInteractiveVxx_Im_Authentication_AADManagedIdentityVxx_Im_Authentication_AADServicePrincipalSignInLogsVxx |
| Eventos do Microsoft Windows | Entradas do Windows (Eventos 4624, 4625, 4634, 4647) coletadas usando o Agente do Azure Monitor ou o Agente do Log Analytics para as tabelas ou WindowsEvent para as SecurityEvent tabelas. |
_Im_Authentication_MicrosoftWindowsEventVxx |
| Okta | Autenticação okta, coletada usando o conector Okta (V1 OSS e V2). | _Im_Authentication_OktaOSSVxx_Im_Authentication_OktaV2Vxx |
| Palo Alto Cortex Data Lake | Eventos Palo Alto Cortex Data Lake. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
| PostgreSQL | Logs de entrada do PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
| Nuvem de serviço Salesforce | Eventos do Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
| SentinelOne | Eventos SentinelOne. | _Im_Authentication_SentinelOneVxx |
| Linux Sshd | Atividade sshd do Linux relatada usando o Syslog. | _Im_Authentication_SshdVxx |
| Linux Su | Atividade su do Linux relatada usando o Syslog. | _Im_Authentication_SuVxx |
| Linux Sudo | Atividade sudo do Linux relatada usando o Syslog. | _Im_Authentication_SudoVxx |
| Vectra XDR | Eventos de auditoria do Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
| Nuvem Negra de Carbono VMware | Eventos do VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analisadores de eventos DHCP
| Origem | Observações | Analisador |
|---|---|---|
| Logs de eventos DHCP normalizados | Qualquer evento normalizado na ingestão para a tabela ASimDhcpEventLogs. |
_Im_DhcpEvent_Native |
| Infoblox BloxOne | Eventos DHCP do BloxOne do Infoblox. | _Im_DhcpEvent_InfobloxBloxOneVxx |
Analisadores DNS
| Origem | Observações | Analisador |
|---|---|---|
| Logs DNS normalizados | Qualquer evento normalizado na ingestão para a tabela ASimDnsActivityLogs. O conector DNS do Agente do Azure Monitor usa a ASimDnsActivityLogs tabela. |
_Im_Dns_Native |
| Firewall do Azure | Logs DNS do Firewall do Azure. | _Im_Dns_AzureFirewallVxx |
| Cisco Umbrella | Logs DNS do Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
| Corelight Zeek | Logs DNS do Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
| Fortinet FortiGate | Logs DNS fortinet FortiGate. | _Im_Dns_FortinetFortigateVxx |
| GCP DNS | Logs DNS do Google Cloud Platform. | _Im_Dns_GcpVxx |
| Infoblox BloxOne | Eventos DNS do BloxOne do Infoblox. | _Im_Dns_InfobloxBloxOneVxx |
| Infoblox NIOS | Servidores DNS DO INFOBLOX NIOS, BIND e BlueCat. O mesmo analisador dá suporte a várias fontes. | _Im_Dns_InfobloxNIOSVxx |
| Servidor DNS da Microsoft | Coletado usando o conector DNS para o Agente do Log Analytics (herdado). | _Im_Dns_MicrosoftOMSVxx |
| Microsoft DNS Server (NXlog) | Servidor DNS da Microsoft coletado usando o NXlog. | _Im_Dns_MicrosoftNXlogVxx |
| Microsoft Sysmon para Windows | Eventos DNS do Sysmon (Evento 22) coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics (herdado) para as tabelas ou WindowsEvent as Event tabelas. |
_Im_Dns_MicrosoftSysmonVxx |
| SentinelOne | Eventos DNS sentinelone. | _Im_Dns_SentinelOneVxx |
| IA da Vectra | Eventos DNS de IA do Vectra. | _Im_Dns_VectraAIVxx |
| ZIA do Zscaler | Logs DNS do Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analisadores de atividade de arquivo
| Origem | Observações | Analisador |
|---|---|---|
| Logs de eventos de arquivo normalizados | Qualquer evento normalizado na ingestão para a tabela ASimFileEventLogs. |
_Im_FileEvent_Native |
| Armazenamento de Blobs do Azure | Eventos de arquivo do Armazenamento de Blobs do Azure. | _Im_FileEvent_AzureBlobStorageVxx |
| Armazenamento de Arquivos do Azure | Eventos do Armazenamento de Arquivos do Azure. | _Im_FileEvent_AzureFileStorageVxx |
| Armazenamento de Filas do Azure | Eventos do Armazenamento de Filas do Azure. | _Im_FileEvent_AzureQueueStorageVxx |
| Armazenamento de Tabelas do Azure | Eventos do Armazenamento de Tabelas do Azure. | _Im_FileEvent_AzureTableStorageVxx |
| Google Workspace | Eventos de arquivo do Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
| Linux Sysmon | O arquivo Sysmon para Linux criou e excluiu eventos (Eventos 11, 23). | _Im_FileEvent_LinuxSysmonFileCreatedVxx_Im_FileEvent_LinuxSysmonFileDeletedVxx |
| Microsoft Defender XDR | Eventos de arquivo do Microsoft Defender XDR para Ponto de Extremidade. | _Im_FileEvent_Microsoft365DVxx |
| Eventos de segurança da Microsoft | Eventos de arquivo do Windows (Evento 4663) coletados usando o conector de Eventos de Segurança. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
| Microsoft SharePoint | Eventos do Microsoft Office 365 SharePoint e OneDrive, coletados usando o conector de Atividade do Office. | _Im_FileEvent_MicrosoftSharePointVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de arquivo do Windows (Eventos 11, 23, 26) coletados nas tabelas ou WindowsEvent nas Event tabelas. |
_Im_FileEvent_MicrosoftSysmonVxx |
| Eventos do Microsoft Windows | Eventos de arquivo do Windows (Evento 4663) coletados na WindowsEvent tabela. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos de arquivo SentinelOne. | _Im_FileEvent_SentinelOneVxx |
| Nuvem Negra de Carbono VMware | Eventos de arquivo do VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
Analisadores de sessão de rede
| Origem | Observações | Analisador |
|---|---|---|
| Logs de Sessão de Rede Normalizados | Qualquer evento normalizado na ingestão para a tabela ASimNetworkSessionLogs. O conector do Firewall para o Agente do Azure Monitor usa esta tabela. |
_Im_NetworkSession_Native |
| AppGate SDP | Logs de conexão IP coletados pelo Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Logs VPC do AWS | Coletados pelo conector AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Firewall do Azure | Logs de rede do Firewall do Azure. | _Im_NetworkSession_AzureFirewallVxx |
| Azure NSG | Logs de fluxo dos Grupos de Segurança de Rede do Azure. | _Im_NetworkSession_AzureNSGVxx |
| VMConnection do Azure Monitor | Coletado como parte da solução do Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
| Barracuda CEF | Eventos barracuda coletados usando CEF. | _Im_NetworkSession_BarracudaCEFVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
| Firewall de ponto de verificação | Eventos de Firewall de Ponto de Verificação coletados usando CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Eventos cisco ASA coletados usando CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Firepower | Eventos do Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
| Cisco ISE | Eventos do Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
| Cisco Meraki | Eventos do Cisco Meraki coletados usando o conector de API ou o Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Eventos de rede do Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
| CrowdStrike Falcon | Eventos do CrowdStrike Falcon Host. | _Im_NetworkSession_CrowdStrikeFalconVxx |
| ForcePoint Firewall | Eventos do Firewall do ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
| Fortinet FortiGate | Eventos de firewall fortinet FortiGate coletados usando o Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Illumio SaaS Core | Eventos illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
| Microsoft Defender para IoT | Eventos do micro agente e sensor do Microsoft Defender para IoT. | _Im_NetworkSession_MD4IoTAgentVxx_Im_NetworkSession_MD4IoTSensorVxx |
| Microsoft Defender XDR | Eventos de rede do Microsoft Defender XDR para Ponto de Extremidade. | _Im_NetworkSession_Microsoft365DefenderVxx |
| Microsoft Sysmon para Linux | Sysmon para eventos de rede do Linux (Evento 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de rede do Windows (Evento 3) coletados nas tabelas ou WindowsEvent nas Event tabelas. |
_Im_NetworkSession_MicrosoftSysmonVxx |
| Microsoft Windows Firewall | Eventos do Firewall do Windows (Eventos 5150-5159) coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Firewall de Eventos de Segurança do Microsoft Windows | Eventos do Firewall do Windows coletados por meio do conector de Eventos de Segurança. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
| NTA NetAnalytics | Eventos da Análise de Tráfego de Rede. | _Im_NetworkSession_NTANetAnalyticsVxx |
| Palo Alto PanOS | Logs de tráfego do Palo Alto PanOS coletados usando o CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Eventos Palo Alto Cortex Data Lake. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
| SentinelOne | Eventos de rede SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
| SonicWall Firewall | Eventos do Firewall do SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
| IA da Vectra | Eventos de rede de IA do Vectra. Dá suporte ao parâmetro de pacote. | _Im_NetworkSession_VectraAIVxx |
| Nuvem Negra de Carbono VMware | Eventos de rede do VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
| Sistema operacional do Fireware do WatchGuard | Eventos do Sistema Operacional do Fireware do WatchGuard coletados usando o Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| ZIA do Zscaler | Logs de firewall do Zscaler ZIA coletados usando CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analisadores de eventos de processo
| Origem | Observações | Analisador |
|---|---|---|
| Logs de eventos do processo normalizado | Qualquer evento normalizado na ingestão para a tabela ASimProcessEventLogs. |
_Im_ProcessEvent_Native |
| Linux Sysmon | Eventos de criação de processo do Sysmon para Linux (Evento 1). | _Im_ProcessCreate_LinuxSysmonVxx |
| Microsoft Defender para IoT | Eventos de processo do Microsoft Defender para IoT. | _Im_ProcessEvent_MD4IoTVxx |
| Microsoft Defender XDR | Eventos de processo do Microsoft Defender XDR para Ponto de Extremidade. | _Im_ProcessEvent_Microsoft365DVxx |
| Eventos de segurança da Microsoft | Criação e encerramento do processo de Eventos de Segurança do Windows (Eventos 4688, 4689). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx_Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
| Microsoft Sysmon para Windows | Eventos de processo do Sysmon for Windows (Eventos 1, 5) coletados nas tabelas ou WindowsEvent nas Event tabelas. |
_Im_ProcessCreate_MicrosoftSysmonVxx_Im_ProcessTerminate_MicrosoftSysmonVxx |
| Eventos do Microsoft Windows | Eventos de processo do Windows coletados para a WindowsEvent tabela. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos de processo do SentinelOne. | _Im_ProcessCreate_SentinelOneVxx |
| Trend Micro Vision One | Eventos de processo do Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
| Nuvem Negra de Carbono VMware | Eventos de processo do VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx_Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
Analisadores de eventos de registro
| Origem | Observações | Analisador |
|---|---|---|
| Logs de Eventos do Registro Normalizado | Qualquer evento normalizado na ingestão para a tabela ASimRegistryEventLogs. |
_Im_RegistryEvent_Native |
| Microsoft Defender XDR | Eventos do Registro do Microsoft Defender XDR para Ponto de Extremidade. | _Im_RegistryEvent_Microsoft365DVxx |
| Eventos de segurança da Microsoft | Eventos do Registro de Eventos de Segurança do Windows (Eventos 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
| Microsoft Sysmon para Windows | Eventos do Registro do Sysmon para Windows (Eventos 12, 13, 14) coletados nas tabelas ou WindowsEvent nas Event tabelas. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
| Eventos do Microsoft Windows | Eventos do Registro do Windows coletados na WindowsEvent tabela. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
| SentinelOne | Eventos do Registro SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
| Trend Micro Vision One | Eventos de registro do Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
| Nuvem Negra de Carbono VMware | Eventos de registro do VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
Analisadores de Gerenciamento de Usuários
| Origem | Observações | Analisador |
|---|---|---|
| Logs de gerenciamento de usuário normalizados | Qualquer evento normalizado na ingestão para a tabela ASimUserManagementLogs. |
_Im_UserManagement_Native |
| Cisco ISE | Eventos de gerenciamento de usuário do Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
| Linux Authpriv | Eventos de gerenciamento de usuário authpriv do Linux. | _Im_UserManagement_LinuxAuthprivVxx |
| Eventos de segurança da Microsoft | Eventos de gerenciamento de usuário dos Eventos de Segurança do Windows. | _Im_UserManagement_MicrosoftSecurityEventVxx |
| Eventos do Microsoft Windows | Eventos de gerenciamento de usuário do Windows coletados para a WindowsEvent tabela. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
| SentinelOne | Eventos de gerenciamento de usuário do SentinelOne. | _Im_UserManagement_SentinelOneVxx |
Analisadores de sessão da Web
| Origem | Observações | Analisador |
|---|---|---|
| Logs de sessão da Web normalizados | Qualquer evento normalizado na ingestão para a tabela ASimWebSessionLogs. |
_Im_WebSession_Native |
| Servidor HTTP do Apache | Logs do Apache HTTP Server. | _Im_WebSession_ApacheHTTPServerVxx |
| Firewall do Azure | Logs de sessão da Web do Firewall do Azure. | _Im_WebSession_AzureFirewallVxx |
| Barracuda CEF | Eventos barracuda coletados usando CEF. | _Im_WebSession_BarracudaCEFVxx |
| Barracuda WAF | Eventos de WAF barracuda. | _Im_WebSession_BarracudaWAFVxx |
| Cisco Firepower | Eventos da Web do Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
| Cisco Meraki | Eventos web do Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
| Citrix NetScaler | Eventos da Web do Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
| F5 ASM | Eventos da Web ASM F5. | _Im_WebSession_F5ASMVxx |
| Fortinet FortiGate | Logs de sessão da Web Fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
| Serviços de Informações da Internet (IIS) | Logs do IIS coletados usando o Agente do Azure Monitor ou o Agente do Log Analytics. | _Im_WebSession_IISVxx |
| Palo Alto PanOS | Logs de ameaças do Palo Alto PanOS coletados usando o CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Palo Alto Cortex Data Lake | Eventos Palo Alto Cortex Data Lake. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
| SonicWall Firewall | Eventos da Web do Firewall do SonicWall. | _Im_WebSession_SonicWallFirewallVxx |
| Proxy da Squid | Logs da Web do Proxy de Lula. | _Im_WebSession_SquidProxyVxx |
| IA da Vectra | Eventos da Web de IA do Vectra. Dá suporte ao parâmetro de pacote. | _Im_WebSession_VectraAIVxx |
| ZIA do Zscaler | Logs da Web do Zscaler ZIA coletados usando o CEF. | _Im_WebSession_ZscalerZIAVxx |
Próximas etapas
Saiba mais sobre analisadores do ASIM:
Saiba mais sobre o ASIM:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)