Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este documento fornece uma lista de analisadores ASIM (Advanced Security Information Model). Para obter uma visão geral dos analisadores ASIM, consulte a visão geral dos analisadores. Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Analisadores de Eventos de Alerta
| Source | Notas | Analisador |
|---|---|---|
| Microsoft Defender XDR | Eventos de alerta do AlertEvidence Microsoft Defender XDR (na tabela). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
| SentinelOne Singularidade | Eventos de ameaça SentinelOne Singularity (na SentinelOne_CL tabela). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analisadores de Eventos de Auditoria
| Source | Notas | Analisador |
|---|---|---|
| Registos de Eventos de Auditoria Normalizados | Qualquer evento normalizado na ingestão à ASimAuditEventLogs mesa. |
_Im_AuditEvent_Native |
| Atividade do Azure | Eventos de Atividade do AzureActivity Azure (na tabela) na categoria Administrative. |
_Im_AuditEvent_AzureActivityVxx |
| Barracuda CEF | Eventos Barracuda recolhidos usando CEF. | _Im_AuditEvent_BarracudaCEFVxx |
| Barracuda WAF | Eventos da Barracuda WAF. | _Im_AuditEvent_BarracudaWAFVxx |
| Cisco ISE | Eventos Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
| Cisco Meraki | Eventos Cisco Meraki recolhidos usando o conector API ou Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
| Falcão CrowdStrike | CrowdStrike Eventos Anfitriões do Falcon. | _Im_AuditEvent_CrowdStrikeFalconVxx |
| Núcleo SaaS de Illumio | Eventos principais do Illumio SaaS. | _Im_AuditEvent_IllumioSaaSCoreVxx |
| Infoblox BloxOne | Eventos Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
| Microsoft Exchange 365 | Eventos administrativos do Exchange coletados usando o conector do Office 365 (na OfficeActivity tabela). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
| Eventos Microsoft Windows | Windows Event 1102 recolhido usando o Azure Monitor Agent (usando as SecurityEvent tabelas ou).WindowsEvent |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
| Vectra XDR | Eventos de auditoria Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
| VMware Carbon Black Cloud | Eventos VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
Analisadores de autenticação
| Source | Notas | Analisador |
|---|---|---|
| Registos de Autenticação Normalizados | Qualquer evento normalizado na ingestão à ASimAuthenticationEventLogs mesa. |
_Im_Authentication_Native |
| AWS CloudTrail | Logins AWS, recolhidos usando o conector AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
| Barracuda WAF | Eventos da Barracuda WAF. | _Im_Authentication_BarracudaWAFVxx |
| Cisco ASA | Eventos Cisco ASA recolhidos usando CEF. | _Im_Authentication_CiscoASAVxx |
| Cisco ISE | Eventos Cisco ISE. | _Im_Authentication_CiscoISEVxx |
| Cisco Meraki | Eventos Cisco Meraki recolhidos usando o conector API ou Syslog. | _Im_Authentication_CiscoMerakiVxx |
| Falcão CrowdStrike | CrowdStrike Eventos Anfitriões do Falcon. | _Im_Authentication_CrowdStrikeFalconVxx |
| Google Workspace | Iniciações de sessão no Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
| Núcleo SaaS de Illumio | Eventos principais do Illumio SaaS. | _Im_Authentication_IllumioSaaSCoreVxx |
| Microsoft Defender XDR | Microsoft Defender XDR para login de endpoints para Windows e Linux. | _Im_Authentication_M365DefenderVxx |
| Microsoft Entra ID | Iniciações de sessão com ID Microsoft Entra, recolhidas através do conector Microsoft Entra. Parsers separados para logins regulares, não interativos, de Identidades Geridas e de Principal de Serviço. | _Im_Authentication_AADSigninLogsVxx_Im_Authentication_AADNonInteractiveVxx_Im_Authentication_AADManagedIdentityVxx_Im_Authentication_AADServicePrincipalSignInLogsVxx |
| Eventos Microsoft Windows | Os logins do Windows (Eventos 4624, 4625, 4634, 4647) foram recolhidos usando o Azure Monitor Agent ou o Log Analytics Agent para as SecurityEvent tabelas ou WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
| Okta | Autenticação Okta, recolhida usando o conector Okta (V1 OSS e V2). | _Im_Authentication_OktaOSSVxx_Im_Authentication_OktaV2Vxx |
| Lago de Dados do Córtex de Palo Alto | Eventos do Córtex de Dados em Palo Alto Court. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
| PostgreSQL | Registos de início de sessão PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
| Salesforce Service Cloud | Eventos da Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
| SentinelOne | Eventos SentinelOne. | _Im_Authentication_SentinelOneVxx |
| Linux Sshd | Atividade SSHD Linux reportada usando Syslog. | _Im_Authentication_SshdVxx |
| Linux Su | A atividade Linux foi reportada usando o Syslog. | _Im_Authentication_SuVxx |
| Linux Sudo | Atividade sudo no Linux reportada usando o Syslog. | _Im_Authentication_SudoVxx |
| Vectra XDR | Eventos de auditoria Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
| VMware Carbon Black Cloud | Eventos VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analisadores de eventos DHCP
| Source | Notas | Analisador |
|---|---|---|
| Registos de Eventos DHCP Normalizados | Qualquer evento normalizado na ingestão à ASimDhcpEventLogs mesa. |
_Im_DhcpEvent_Native |
| Infoblox BloxOne | Eventos DHCP do Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
Analisadores DNS
| Source | Notas | Analisador |
|---|---|---|
| Logs DNS normalizados | Qualquer evento normalizado na ingestão à ASimDnsActivityLogs mesa. O conector DNS para o Azure Monitor Agent usa a ASimDnsActivityLogs tabela. |
_Im_Dns_Native |
| Azure Firewall | Registos DNS do Azure Firewall. | _Im_Dns_AzureFirewallVxx |
| Guarda-chuva Cisco | Registos DNS Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
| Corelight Zeek | Corelight Zeek registos DNS. | _Im_Dns_CorelightZeekVxx |
| Fortinet FortiGate | Registos DNS Fortinet FortiGate. | _Im_Dns_FortinetFortigateVxx |
| GCP DNS | Registos DNS da Google Cloud Platform. | _Im_Dns_GcpVxx |
| Infoblox BloxOne | Eventos DNS do Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
| Infoblox NIOS | Servidores DNS Infoblox NIOS, BIND e BlueCat. O mesmo parser suporta múltiplas fontes. | _Im_Dns_InfobloxNIOSVxx |
| Servidor DNS da Microsoft | Recolhido usando o conector DNS do Log Analytics Agent (legacy). | _Im_Dns_MicrosoftOMSVxx |
| Microsoft DNS Server (NXlog) | Servidor DNS Microsoft recolhido usando NXlog. | _Im_Dns_MicrosoftNXlogVxx |
| Microsoft Sysmon para Windows | Eventos DNS Sysmon (Evento 22) recolhidos usando o Azure Monitor Agent ou o Log Analytics Agent (legacy) para as Event tabelas de ou WindowsEvent . |
_Im_Dns_MicrosoftSysmonVxx |
| SentinelOne | Eventos DNS do SentinelOne. | _Im_Dns_SentinelOneVxx |
| Vectra AI | Eventos DNS da Vectra AI. | _Im_Dns_VectraAIVxx |
| Zscaler ZIA | Zscaler ZIA DNS logs. | _Im_Dns_ZscalerZIAVxx |
Analisadores de atividade de arquivo
| Source | Notas | Analisador |
|---|---|---|
| Registos de Eventos de Ficheiros Normalizados | Qualquer evento normalizado na ingestão à ASimFileEventLogs mesa. |
_Im_FileEvent_Native |
| Armazenamento de Blobs do Azure | Azure Blob Storage file events. | _Im_FileEvent_AzureBlobStorageVxx |
| Armazenamento de Ficheiros do Azure | Eventos Azure File Storage. | _Im_FileEvent_AzureFileStorageVxx |
| Armazenamento de Filas do Azure | Azure Queue Storage events. | _Im_FileEvent_AzureQueueStorageVxx |
| Armazenamento de Tabelas do Azure | Eventos Azure Table Storage. | _Im_FileEvent_AzureTableStorageVxx |
| Google Workspace | Eventos do Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
| Linux Sysmon | Sysmon para Linux ficheiros criados e apagados eventos (Eventos 11, 23). | _Im_FileEvent_LinuxSysmonFileCreatedVxx_Im_FileEvent_LinuxSysmonFileDeletedVxx |
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de ficheiros de endpoint. | _Im_FileEvent_Microsoft365DVxx |
| Eventos de Segurança Microsoft | Eventos do ficheiro Windows (Evento 4663) recolhidos através do conector de Eventos de Segurança. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
| Microsoft SharePoint | Eventos Microsoft Office 365 SharePoint e OneDrive, recolhidos através do conector Office Activity. | _Im_FileEvent_MicrosoftSharePointVxx |
| Microsoft Sysmon para Windows | Sysmon para Windows eventos de ficheiro (Eventos 11, 23, 26) recolhidos nas Event tabelas ou.WindowsEvent |
_Im_FileEvent_MicrosoftSysmonVxx |
| Eventos Microsoft Windows | Eventos do ficheiro Windows (Evento 4663) recolhidos na WindowsEvent tabela. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
| SentinelOne | Eventos do ficheiro SentinelOne. | _Im_FileEvent_SentinelOneVxx |
| VMware Carbon Black Cloud | Eventos do ficheiro VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
Analisadores de sessão de rede
| Source | Notas | Analisador |
|---|---|---|
| Logs de sessão de rede normalizados | Qualquer evento normalizado na ingestão à ASimNetworkSessionLogs mesa. O conector Firewall para o Azure Monitor Agent utiliza esta tabela. |
_Im_NetworkSession_Native |
| AppGate SDP | Logs de conexão IP coletados usando o Syslog. | _Im_NetworkSession_AppGateSDPVxx |
| Logs da AWS VPC | Coletado usando o conector do AWS S3. | _Im_NetworkSession_AWSVPCVxx |
| Azure Firewall | Registos de rede do Azure Firewall. | _Im_NetworkSession_AzureFirewallVxx |
| Azure NSG | Azure Network Security Groups registos de fluxo. | _Im_NetworkSession_AzureNSGVxx |
| Azure Monitor VMConnection | Recolhido como parte da solução Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
| Barracuda CEF | Eventos Barracuda recolhidos usando CEF. | _Im_NetworkSession_BarracudaCEFVxx |
| Barracuda WAF | Eventos da Barracuda WAF. | _Im_NetworkSession_BarracudaWAFVxx |
| Firewall de Pontos de Controlo | Eventos do Firewall de Checkpoint recolhidos usando CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
| Cisco ASA | Eventos Cisco ASA recolhidos usando CEF. | _Im_NetworkSession_CiscoASAVxx |
| Cisco Firepower | Eventos Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
| Cisco ISE | Eventos Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
| Cisco Meraki | Eventos Cisco Meraki recolhidos usando o conector API ou Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
| Corelight Zeek | Eventos da rede Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
| Falcão CrowdStrike | CrowdStrike Eventos Anfitriões do Falcon. | _Im_NetworkSession_CrowdStrikeFalconVxx |
| ForcePoint Firewall | Eventos do firewall ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
| Fortinet FortiGate | Eventos do firewall Fortinet FortiGate recolhidos usando Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
| Núcleo SaaS de Illumio | Eventos principais do Illumio SaaS. | _Im_NetworkSession_IllumioSaaSCoreVxx |
| Microsoft Defender para IoT | Microsoft Defender para eventos de microagentes e sensores IoT. | _Im_NetworkSession_MD4IoTAgentVxx_Im_NetworkSession_MD4IoTSensorVxx |
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de rede Endpoint. | _Im_NetworkSession_Microsoft365DefenderVxx |
| Microsoft Sysmon para Linux | Sysmon para eventos de rede Linux (Evento 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de rede Windows (Evento 3) recolhidos nas Event tabelas ou.WindowsEvent |
_Im_NetworkSession_MicrosoftSysmonVxx |
| Microsoft Windows Firewall | Eventos do Windows Firewall (Eventos 5150-5159) recolhidos usando o Azure Monitor Agent ou o Log Analytics Agent. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Firewall de Eventos de Segurança do Microsoft Windows | Eventos do Windows Firewall recolhidos através do conector de Eventos de Segurança. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
| NTA NetAnalytics | Eventos de Análise de Tráfego de Rede. | _Im_NetworkSession_NTANetAnalyticsVxx |
| Palo Alto PanOS | Registos de tráfego Palo Alto PanOS recolhidos usando CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
| Lago de Dados do Córtex de Palo Alto | Eventos do Córtex de Dados em Palo Alto Court. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
| SentinelOne | Eventos da rede SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
| SonicWall Firewall | Eventos do Firewall SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
| Vectra AI | Eventos da rede Vectra AI. Suporta o parâmetro do pack. | _Im_NetworkSession_VectraAIVxx |
| VMware Carbon Black Cloud | Eventos da rede VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
| WatchGuard Fireware OS | Eventos do WatchGuard Fireware OS recolhidos usando Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA | Registos do firewall Zscaler ZIA recolhidos usando CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analisadores de eventos de processo
| Source | Notas | Analisador |
|---|---|---|
| Registos de Eventos de Processos Normalizados | Qualquer evento normalizado na ingestão à ASimProcessEventLogs mesa. |
_Im_ProcessEvent_Native |
| Linux Sysmon | Sysmon para Linux eventos de criação de processos (Evento 1). | _Im_ProcessCreate_LinuxSysmonVxx |
| Microsoft Defender para IoT | Microsoft Defender para eventos de processo IoT. | _Im_ProcessEvent_MD4IoTVxx |
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de processo Endpoint. | _Im_ProcessEvent_Microsoft365DVxx |
| Eventos de Segurança Microsoft | Os Eventos de Segurança do Windows processam a criação e terminação (Eventos 4688, 4689). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx_Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
| Microsoft Sysmon para Windows | Sysmon para Windows processa eventos (Eventos 1, 5) recolhidos nas Event tabelas de ou WindowsEvent . |
_Im_ProcessCreate_MicrosoftSysmonVxx_Im_ProcessTerminate_MicrosoftSysmonVxx |
| Eventos Microsoft Windows | O Windows processa eventos recolhidos na WindowsEvent mesa. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
| SentinelOne | O SentinelOne processa eventos. | _Im_ProcessCreate_SentinelOneVxx |
| Trend Micro Visão Um | Trend Micro Vision Um dos eventos do processo. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
| VMware Carbon Black Cloud | Eventos do processo VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx_Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
Analisadores de eventos do Registro
| Source | Notas | Analisador |
|---|---|---|
| Registos de Eventos Normalizados | Qualquer evento normalizado na ingestão à ASimRegistryEventLogs mesa. |
_Im_RegistryEvent_Native |
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de registo de endpoints. | _Im_RegistryEvent_Microsoft365DVxx |
| Eventos de Segurança Microsoft | Eventos do registo de Eventos de Segurança do Windows (Eventos 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
| Microsoft Sysmon para Windows | Sysmon para eventos de registo do Windows (Eventos 12, 13, 14) recolhidos nas Event tabelas ou.WindowsEvent |
_Im_RegistryEvent_MicrosoftSysmonVxx |
| Eventos Microsoft Windows | Eventos do registo do Windows recolhidos na WindowsEvent tabela. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
| SentinelOne | Eventos do registo SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
| Trend Micro Visão Um | Trend Micro Vision Um evento de registo. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
| VMware Carbon Black Cloud | Eventos do registo VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
Analisadores de Gestão de Utilizadores
| Source | Notas | Analisador |
|---|---|---|
| Registos de Gestão de Utilizadores Normalizados | Qualquer evento normalizado na ingestão à ASimUserManagementLogs mesa. |
_Im_UserManagement_Native |
| Cisco ISE | Eventos de gestão de utilizadores Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
| Linux Authpriv | Eventos de gestão de utilizadores autorizados no Linux. | _Im_UserManagement_LinuxAuthprivVxx |
| Eventos de Segurança Microsoft | Eventos de Segurança do Windows, eventos de gestão de utilizadores. | _Im_UserManagement_MicrosoftSecurityEventVxx |
| Eventos Microsoft Windows | Eventos de gestão de utilizadores do Windows recolhidos na WindowsEvent mesa. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
| SentinelOne | Eventos de gestão de utilizadores SentinelOne. | _Im_UserManagement_SentinelOneVxx |
Analisadores de sessão da Web
| Source | Notas | Analisador |
|---|---|---|
| Logs de sessão da Web normalizados | Qualquer evento normalizado na ingestão à ASimWebSessionLogs mesa. |
_Im_WebSession_Native |
| Servidor HTTP Apache | Logs do servidor HTTP Apache. | _Im_WebSession_ApacheHTTPServerVxx |
| Azure Firewall | Azure Firewall web session logs. | _Im_WebSession_AzureFirewallVxx |
| Barracuda CEF | Eventos Barracuda recolhidos usando CEF. | _Im_WebSession_BarracudaCEFVxx |
| Barracuda WAF | Eventos da Barracuda WAF. | _Im_WebSession_BarracudaWAFVxx |
| Cisco Firepower | Eventos web Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
| Cisco Meraki | Eventos web Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
| Citrix NetScaler | Eventos web do Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
| F5 ASM | Eventos web ASM F5. | _Im_WebSession_F5ASMVxx |
| Fortinet FortiGate | Registos de sessões web Fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
| Serviços de Informações da Internet (IIS) | Registos IIS recolhidos usando o Azure Monitor Agent ou o Log Analytics Agent. | _Im_WebSession_IISVxx |
| Palo Alto PanOS | Registos de ameaças do Palo Alto PanOS recolhidos usando CEF. | _Im_WebSession_PaloAltoCEFVxx |
| Lago de Dados do Córtex de Palo Alto | Eventos do Córtex de Dados em Palo Alto Court. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
| SonicWall Firewall | Eventos web do firewall SonicWall Firewall. | _Im_WebSession_SonicWallFirewallVxx |
| Proxy Lulas | Blogs do Squid Proxy. | _Im_WebSession_SquidProxyVxx |
| Vectra AI | Eventos web da Vectra AI. Suporta o parâmetro do pack. | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Blogs Zscaler ZIA recolhidos usando CEF. | _Im_WebSession_ZscalerZIAVxx |
Próximos passos
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- Gerir analisadores do ASIM
Saiba mais sobre o ASIM:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)