本檔提供進階安全性資訊模型 (ASIM) 剖析器的清單。 如需 ASIM 剖析器的概觀,請參閱 剖析器概觀。 若要了解剖析器如何融入 ASIM 架構內,請參閱 ASIM 架構圖。
警報事件解析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| Microsoft Defender XDR | Microsoft Defender 全面偵測回應 警示事件 (在數據表中AlertEvidence)。 |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
| SentinelOne 單一性 | SentinelOne 奇點威脅事件(見 SentinelOne_CL 表格)。 |
_Im_AlertEvent_SentinelOneSingularityVxx |
審計事件解析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化稽核事件日誌 | 在擷取數據表 ASimAuditEventLogs 時正規化的任何事件。 |
_Im_AuditEvent_Native |
| Azure 活動 | 類別AzureActivity中的 Azure 活動事件 (資料表Administrative中) 。 |
_Im_AuditEvent_AzureActivityVxx |
| 梭魚加拿大原子力基金會 | Barracuda 事件是利用 CEF 收集的。 | _Im_AuditEvent_BarracudaCEFVxx |
| 梭魚號 WAF | 梭魚WAF活動。 | _Im_AuditEvent_BarracudaWAFVxx |
| 思科 ISE | Cisco ISE 事件。 | _Im_AuditEvent_CiscoISEVxx |
| 思科梅拉基 | Cisco Meraki 事件透過 API 連接器或 Syslog 收集。 | _Im_AuditEvent_CiscoMerakiVxx |
| 群眾獵鷹 | CrowdStrike Falcon 主辦活動。 | _Im_AuditEvent_CrowdStrikeFalconVxx |
| Illumio SaaS Core | Illumio SaaS 核心活動。 | _Im_AuditEvent_IllumioSaaSCoreVxx |
| Infoblox BloxOne | Infoblox BloxOne 活動。 | _Im_AuditEvent_InfobloxBloxOneVxx |
| Microsoft Exchange 365 | 使用 Office 365 連接器收集的 Exchange 系統管理事件(在數據表中 OfficeActivity )。 |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
| Microsoft Windows 活動 | Windows Event 1102 是使用 Azure Monitor Agent(使用 SecurityEvent or WindowsEvent 表格)收集的。 |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
| 哨兵一號 | SentinelOne 事件。 | _Im_AuditEvent_SentinelOneVxx |
| Vectra XDR | Vectra XDR 審核活動。 | _Im_AuditEvent_VectraXDRAuditVxx |
| VMware 碳黑雲 | VMware 碳黑雲活動。 | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
驗證剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化認證日誌 | 在擷取數據表 ASimAuthenticationEventLogs 時正規化的任何事件。 |
_Im_Authentication_Native |
| AWS CloudTrail | AWS 登入資料,透過 AWS CloudTrail 連接器收集。 | _Im_Authentication_AWSCloudTrailVxx |
| 梭魚號 WAF | 梭魚WAF活動。 | _Im_Authentication_BarracudaWAFVxx |
| 思科ASA | Cisco ASA 事件是使用 CEF 收集的。 | _Im_Authentication_CiscoASAVxx |
| 思科 ISE | Cisco ISE 事件。 | _Im_Authentication_CiscoISEVxx |
| 思科梅拉基 | Cisco Meraki 事件透過 API 連接器或 Syslog 收集。 | _Im_Authentication_CiscoMerakiVxx |
| 群眾獵鷹 | CrowdStrike Falcon 主辦活動。 | _Im_Authentication_CrowdStrikeFalconVxx |
| Groove Workspace | Google Workspace 登入。 | _Im_Authentication_GoogleWorkspaceVxx |
| Illumio SaaS Core | Illumio SaaS 核心活動。 | _Im_Authentication_IllumioSaaSCoreVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint 登入支援 Windows 和 Linux。 | _Im_Authentication_M365DefenderVxx |
| Microsoft Entra 身份識別 | Microsoft Entra ID 登入資料,透過 Microsoft Entra 連接器收集。 分別用於一般、非互動式、受管理身份及服務主體登入的解析器。 | _Im_Authentication_AADSigninLogsVxx_Im_Authentication_AADNonInteractiveVxx_Im_Authentication_AADManagedIdentityVxx_Im_Authentication_AADServicePrincipalSignInLogsVxx |
| Microsoft Windows 活動 | Windows 登入(事件 4624、4625、4634、4647)透過 Azure Monitor Agent 或 Log Analytics Agent 收集到 SecurityEvent or WindowsEvent 表格。 |
_Im_Authentication_MicrosoftWindowsEventVxx |
| Okta | Okta 認證,透過 Okta 連接器(V1 OSS 與 V2)收集。 | _Im_Authentication_OktaOSSVxx_Im_Authentication_OktaV2Vxx |
| 帕洛阿爾托皮層資料湖 | 帕洛阿爾托 Cortex Data Lake 活動。 | _Im_Authentication_PaloAltoCortexDataLakeVxx |
| PostgreSQL | PostgreSQL 登入日誌。 | _Im_Authentication_PostgreSQLVxx |
| Salesforce 服務雲端 | Salesforce Service Cloud 活動。 | _Im_Authentication_SalesforceSCVxx |
| 哨兵一號 | SentinelOne 事件。 | _Im_Authentication_SentinelOneVxx |
| Linux Sshd | Linux 的 sshd 活動報告使用 Syslog 處理。 | _Im_Authentication_SshdVxx |
| Linux Su | Linux su 活動報告使用 Syslog 進行。 | _Im_Authentication_SuVxx |
| Linux Sudo | Linux sudo 活動報告使用 Syslog 進行。 | _Im_Authentication_SudoVxx |
| Vectra XDR | Vectra XDR 審核活動。 | _Im_Authentication_VectraXDRAuditVxx |
| VMware 碳黑雲 | VMware 碳黑雲活動。 | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP 事件解析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化 DHCP 事件日誌 | 在擷取數據表 ASimDhcpEventLogs 時正規化的任何事件。 |
_Im_DhcpEvent_Native |
| Infoblox BloxOne | Infoblox BloxOne DHCP 事件。 | _Im_DhcpEvent_InfobloxBloxOneVxx |
DNS 剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化 DNS 記錄 | 在擷取數據表 ASimDnsActivityLogs 時正規化的任何事件。 Azure Monitor 代理的 DNS 連接器使用該 ASimDnsActivityLogs 表格。 |
_Im_Dns_Native |
| Azure 防火牆 | Azure Firewall DNS 日誌。 | _Im_Dns_AzureFirewallVxx |
| 思科傘 | Cisco Umbrella DNS 日誌。 | _Im_Dns_CiscoUmbrellaVxx |
| 科萊特澤克 | Corelight Zeek DNS 日誌。 | _Im_Dns_CorelightZeekVxx |
| Fortinet FortiGate | Fortinet FortiGate DNS 日誌。 | _Im_Dns_FortinetFortigateVxx |
| GCP DNS | Google Cloud Platform DNS 日誌。 | _Im_Dns_GcpVxx |
| Infoblox BloxOne | Infoblox BloxOne DNS 事件。 | _Im_Dns_InfobloxBloxOneVxx |
| 資訊彙編 NIOS | Infoblox 的 NIOS、BIND 和 BlueCat DNS 伺服器。 同一個解析器支援多個來源。 | _Im_Dns_InfobloxNIOSVxx |
| Microsoft DNS 伺服器 | 透過 DNS 連接器收集 Log Analytics Agent(舊版)。 | _Im_Dns_MicrosoftOMSVxx |
| Microsoft DNS 伺服器(NXlog) | Microsoft DNS Server 使用 NXlog 收集。 | _Im_Dns_MicrosoftNXlogVxx |
| Microsoft Sysmon for Windows | Sysmon DNS 事件(事件 22)是透過 Azure Monitor Agent 或 Log Analytics Agent(舊版)收集到 Event OR WindowsEvent 表格。 |
_Im_Dns_MicrosoftSysmonVxx |
| 哨兵一號 | SentinelOne DNS 事件。 | _Im_Dns_SentinelOneVxx |
| Vectra 人工智慧 | Vectra AI DNS 事件。 | _Im_Dns_VectraAIVxx |
| Zscaler ZIA | Zscaler ZIA DNS 日誌。 | _Im_Dns_ZscalerZIAVxx |
檔案活動剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 正規化檔案事件日誌 | 在擷取數據表 ASimFileEventLogs 時正規化的任何事件。 |
_Im_FileEvent_Native |
| Azure Blob 儲存服務 | Azure Blob Storage file events. | _Im_FileEvent_AzureBlobStorageVxx |
| Azure 檔案儲存體 | Azure 檔案儲存事件。 | _Im_FileEvent_AzureFileStorageVxx |
| Azure 佇列儲存體 | Azure Queue Storage events. | _Im_FileEvent_AzureQueueStorageVxx |
| Azure 表格儲存 | Azure Table Storage events. | _Im_FileEvent_AzureTableStorageVxx |
| Groove Workspace | Google Workspace 檔案事件。 | _Im_FileEvent_GoogleWorkspaceVxx |
| Linux Sysmon | Linux 版 Sysmon 檔案會產生與刪除事件(事件 11、23)。 | _Im_FileEvent_LinuxSysmonFileCreatedVxx_Im_FileEvent_LinuxSysmonFileDeletedVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint 檔案事件。 | _Im_FileEvent_Microsoft365DVxx |
| Microsoft 安全事件 | 使用 Security Events 連接器收集的 Windows 檔案事件(Event 4663)。 | _Im_FileEvent_MicrosoftSecurityEventsVxx |
| Microsoft SharePoint | Microsoft Office 365 SharePoint 與 OneDrive 事件,透過 Office 活動連接器收集。 | _Im_FileEvent_MicrosoftSharePointVxx |
| Microsoft Sysmon for Windows | Windows 版 Sysmon 檔案事件(事件 11、23、26)會收集到 Event or WindowsEvent 表格。 |
_Im_FileEvent_MicrosoftSysmonVxx |
| Microsoft Windows 活動 | Windows 檔案事件(事件 4663)被收集到 WindowsEvent 資料表。 |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
| 哨兵一號 | SentinelOne 檔案事件。 | _Im_FileEvent_SentinelOneVxx |
| VMware 碳黑雲 | VMware Carbon Black Cloud 檔案事件。 | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
網路會話剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 正規化網路會話記錄 | 在擷取數據表 ASimNetworkSessionLogs 時正規化的任何事件。 Azure Monitor 代理的防火牆連接器使用此表。 |
_Im_NetworkSession_Native |
| AppGate 軟體開發方案 | 使用 Syslog 收集的 IP 連線記錄。 | _Im_NetworkSession_AppGateSDPVxx |
| AWS AWS AWS 記錄 | 使用 AWS S3 連接器收集。 | _Im_NetworkSession_AWSVPCVxx |
| Azure 防火牆 | Azure 防火牆網路日誌。 | _Im_NetworkSession_AzureFirewallVxx |
| Azure NSG | Azure Network Security Groups flow logs. | _Im_NetworkSession_AzureNSGVxx |
| Azure 監視器 VMConnection | 這些資料是作為 Azure Monitor VM Insights 解決方案的一部分所收集的。 | _Im_NetworkSession_VMConnectionVxx |
| 梭魚加拿大原子力基金會 | Barracuda 事件是利用 CEF 收集的。 | _Im_NetworkSession_BarracudaCEFVxx |
| 梭魚號 WAF | 梭魚WAF活動。 | _Im_NetworkSession_BarracudaWAFVxx |
| 檢查哨防火牆 | 使用 CEF 收集的 Checkpoint 防火牆事件。 | _Im_NetworkSession_CheckPointFirewallVxx |
| 思科ASA | Cisco ASA 事件是使用 CEF 收集的。 | _Im_NetworkSession_CiscoASAVxx |
| Cisco Firepower | Cisco Firepower 活動。 | _Im_NetworkSession_CiscoFirepowerVxx |
| 思科 ISE | Cisco ISE 事件。 | _Im_NetworkSession_CiscoISEVxx |
| 思科梅拉基 | Cisco Meraki 事件透過 API 連接器或 Syslog 收集。 | _Im_NetworkSession_CiscoMerakiVxx |
| 科萊特澤克 | Corelight Zeek 網路活動。 | _Im_NetworkSession_CorelightZeekVxx |
| 群眾獵鷹 | CrowdStrike Falcon 主辦活動。 | _Im_NetworkSession_CrowdStrikeFalconVxx |
| ForcePoint 防火牆 | ForcePoint 防火牆事件。 | _Im_NetworkSession_ForcePointFirewallVxx |
| Fortinet FortiGate | 使用 Syslog 收集的 Fortinet FortiGate 防火牆事件。 | _Im_NetworkSession_FortinetFortiGateVxx |
| Illumio SaaS Core | Illumio SaaS 核心活動。 | _Im_NetworkSession_IllumioSaaSCoreVxx |
| 適用於 IoT 的 Microsoft Defender | Microsoft Defender for IoT 微代理與感測器事件。 | _Im_NetworkSession_MD4IoTAgentVxx_Im_NetworkSession_MD4IoTSensorVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint 網路事件。 | _Im_NetworkSession_Microsoft365DefenderVxx |
| Microsoft Sysmon for Linux | Sysmon 用於 Linux 網路事件(Event 3)。 | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
| Microsoft Sysmon for Windows | Sysmon for Windows 網路事件(事件 3)會收集到 Event or WindowsEvent 表格。 |
_Im_NetworkSession_MicrosoftSysmonVxx |
| Microsoft Windows 防火牆 | 使用 Azure Monitor Agent 或 Log Analytics Agent 收集的 Windows 防火牆事件(事件 5150-5159)。 | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
| Microsoft Windows 安全事件防火牆 | Windows 防火牆事件透過安全事件連接器收集。 | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
| NTA 網路分析 | 網路流量分析活動。 | _Im_NetworkSession_NTANetAnalyticsVxx |
| 帕洛阿爾托 PanOS | Palo Alto PanOS 流量日誌使用 CEF 收集。 | _Im_NetworkSession_PaloAltoCEFVxx |
| 帕洛阿爾托皮層資料湖 | 帕洛阿爾托 Cortex Data Lake 活動。 | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
| 哨兵一號 | SentinelOne 網路活動。 | _Im_NetworkSession_SentinelOneVxx |
| SonicWall 防火牆 | SonicWall 防火牆事件。 | _Im_NetworkSession_SonicWallFirewallVxx |
| Vectra 人工智慧 | Vectra AI 網路活動。 支援 pack 參數。 | _Im_NetworkSession_VectraAIVxx |
| VMware 碳黑雲 | VMware Carbon Black Cloud 網路事件。 | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
| WatchGuard Fireware 作業系統 | 使用 Syslog 收集的 WatchGuard Fireware 作業系統事件。 | _Im_NetworkSession_WatchGuardFirewareOSVxx |
| Zscaler ZIA | Zscaler ZIA 防火牆日誌使用 CEF 收集。 | _Im_NetworkSession_ZscalerZIAVxx |
處理事件剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 正規化流程事件日誌 | 在擷取數據表 ASimProcessEventLogs 時正規化的任何事件。 |
_Im_ProcessEvent_Native |
| Linux Sysmon | Sysmon for Linux 程序建立事件(事件 1)。 | _Im_ProcessCreate_LinuxSysmonVxx |
| 適用於 IoT 的 Microsoft Defender | Microsoft Defender for IoT process events. | _Im_ProcessEvent_MD4IoTVxx |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint 的程序事件。 | _Im_ProcessEvent_Microsoft365DVxx |
| Microsoft 安全事件 | Windows 安全事件程序的建立與終止(事件 4688、4689)。 | _Im_ProcessCreate_MicrosoftSecurityEventsVxx_Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
| Microsoft Sysmon for Windows | Sysmon for Windows 會將事件(事件 1、5)收集到 Event or WindowsEvent 表格。 |
_Im_ProcessCreate_MicrosoftSysmonVxx_Im_ProcessTerminate_MicrosoftSysmonVxx |
| Microsoft Windows 活動 | Windows 處理 WindowsEvent 收集到資料表的事件。 |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
| 哨兵一號 | SentinelOne 處理事件。 | _Im_ProcessCreate_SentinelOneVxx |
| 趨勢科技 Vision One | 趨勢科技 Vision One 流程事件。 | _Im_ProcessCreate_TrendMicroVisionOneVxx |
| VMware 碳黑雲 | VMware Carbon Black Cloud 的流程事件。 | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx_Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
登錄事件剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化登錄檔事件日誌 | 在擷取數據表 ASimRegistryEventLogs 時正規化的任何事件。 |
_Im_RegistryEvent_Native |
| Microsoft Defender XDR | Microsoft Defender XDR for Endpoint 登錄檔事件。 | _Im_RegistryEvent_Microsoft365DVxx |
| Microsoft 安全事件 | Windows 安全事件登錄檔事件(事件 4657、4663)。 | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
| Microsoft Sysmon for Windows | Sysmon for Windows 登錄檔事件(事件 12、13、14)會被收集到 Event or WindowsEvent 表格。 |
_Im_RegistryEvent_MicrosoftSysmonVxx |
| Microsoft Windows 活動 | Windows 登錄檔事件收集到 WindowsEvent 表格。 |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
| 哨兵一號 | SentinelOne 登錄事件。 | _Im_RegistryEvent_SentinelOneVxx |
| 趨勢科技 Vision One | 趨勢科技 Vision One 登記活動。 | _Im_RegistryEvent_TrendMicroVisionOneVxx |
| VMware 碳黑雲 | VMware Carbon Black Cloud 登錄檔事件。 | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
使用者管理解析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化使用者管理日誌 | 在擷取數據表 ASimUserManagementLogs 時正規化的任何事件。 |
_Im_UserManagement_Native |
| 思科 ISE | Cisco ISE 使用者管理事件。 | _Im_UserManagement_CiscoISEVxx |
| Linux 授權 | Linux authpriv 使用者管理事件。 | _Im_UserManagement_LinuxAuthprivVxx |
| Microsoft 安全事件 | Windows 安全事件使用者管理事件。 | _Im_UserManagement_MicrosoftSecurityEventVxx |
| Microsoft Windows 活動 | Windows 使用者管理事件會 WindowsEvent 被收集到表格。 |
_Im_UserManagement_MicrosoftWindowsEventVxx |
| 哨兵一號 | SentinelOne 用戶管理事件。 | _Im_UserManagement_SentinelOneVxx |
Web 會話剖析器
| 來源 | 注意事項 | 剖析器 |
|---|---|---|
| 標準化的 Web 工作階段記錄 | 在擷取數據表 ASimWebSessionLogs 時正規化的任何事件。 |
_Im_WebSession_Native |
| Apache HTTP 伺服器 | Apache HTTP 伺服器日誌。 | _Im_WebSession_ApacheHTTPServerVxx |
| Azure 防火牆 | Azure Firewall 網頁會話日誌。 | _Im_WebSession_AzureFirewallVxx |
| 梭魚加拿大原子力基金會 | Barracuda 事件是利用 CEF 收集的。 | _Im_WebSession_BarracudaCEFVxx |
| 梭魚號 WAF | 梭魚WAF活動。 | _Im_WebSession_BarracudaWAFVxx |
| Cisco Firepower | Cisco Firepower 網路活動。 | _Im_WebSession_CiscoFirepowerVxx |
| 思科梅拉基 | Cisco Meraki 網路活動。 | _Im_WebSession_CiscoMerakiVxx |
| Citrix NetScaler | Citrix NetScaler 網路活動。 | _Im_WebSession_CitrixNetScalerVxx |
| F5 ASM | F5 ASM 網路活動。 | _Im_WebSession_F5ASMVxx |
| Fortinet FortiGate | Fortinet FortiGate 網頁會話日誌。 | _Im_WebSession_FortinetFortiGateVxx |
| Internet Information Services (IIS) | 使用 Azure Monitor Agent 或 Log Analytics Agent 收集的 IIS 日誌。 | _Im_WebSession_IISVxx |
| 帕洛阿爾托 PanOS | 利用 CEF 收集的 PanOS 威脅日誌。 | _Im_WebSession_PaloAltoCEFVxx |
| 帕洛阿爾托皮層資料湖 | 帕洛阿爾托 Cortex Data Lake 活動。 | _Im_WebSession_PaloAltoCortexDataLakeVxx |
| SonicWall 防火牆 | SonicWall 防火牆網路事件。 | _Im_WebSession_SonicWallFirewallVxx |
| 魷魚代理 | Squid Proxy 網路日誌。 | _Im_WebSession_SquidProxyVxx |
| Vectra 人工智慧 | Vectra AI 線上活動。 支援 pack 參數。 | _Im_WebSession_VectraAIVxx |
| Zscaler ZIA | Zscaler ZIA 網路日誌使用 CEF 收集。 | _Im_WebSession_ZscalerZIAVxx |
下一步
深入了解 ASIM 剖析器:
深入瞭解 ASIM: