Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este documento se proporciona una lista de analizadores del modelo de información de seguridad avanzada (ASIM). Para obtener información general sobre los analizadores de ASIM, consulte la introducción a los analizadores. Para comprender cómo encajan los analizadores dentro de la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
Los analizadores que no tienen un valor en Uses pack parameter no tienen la AdditionalFields columna rellenada.
Analizadores de eventos de alerta
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR eventos de alerta (en la AlertEvidence tabla). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| Singularidad de SentinelOne | Eventos de amenaza de singularidad de SentinelOne (en la SentinelOne_CL tabla). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analizadores de eventos de auditoría
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de eventos de auditoría normalizados | Cualquier evento normalizado en la ingesta a la ASimAuditEventLogs tabla. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | Eventos de auditoría de AWS CloudTrail. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Actividad de Azure | Azure eventos de actividad (en la AzureActivity tabla) de la categoría Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault eventos de auditoría. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Eventos de Barracuda recopilados mediante CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Eventos de WAF de Barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Eventos de Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Eventos de Cisco Meraki recopilados mediante el conector de API o Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Eventos de Cisco Meraki recopilados en la tabla Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | Eventos de CrowdStrike Falcon Host. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Eventos de Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Eventos de Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | Eventos de auditoría de Windows recopilados en la Event tabla |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Eventos administrativos de Exchange recopilados mediante el conector de Office 365 (en la OfficeActivity tabla). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Eventos de seguridad de Microsoft | Evento de Windows 1102 recopilado mediante Azure Agente de Supervisión (mediante las SecurityEvent tablas). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Eventos de Microsoft Windows | Evento de Windows 1102 recopilado mediante Azure Agente de Supervisión (mediante las WindowsEvent tablas). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Eventos SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Eventos de auditoría de Vectra XDR. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Eventos de VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Analizadores de autenticación
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de autenticación normalizados | Cualquier evento normalizado en la ingesta a la ASimAuthenticationEventLogs tabla. |
_Im_Authentication_Native |
|
| AWS CloudTrail | Inicios de sesión de AWS, recopilados mediante el conector de AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Eventos de WAF de Barracuda. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Eventos de Cisco ASA recopilados con CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Eventos de Cisco ISE. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Eventos de Cisco Meraki recopilados mediante el conector de API o Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Eventos de Cisco Meraki recopilados en la tabla Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | Eventos de CrowdStrike Falcon Host. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate system admin logs (Registros de administración del sistema fortigate de Fortinet). | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Inicios de sesión de Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Eventos de Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender para IoT | Microsoft Defender para eventos de autenticación de IoT. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para los inicios de sesión de punto de conexión para Windows y Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID inicios de sesión, recopilados mediante el conector de Microsoft Entra para inicios de sesión normales. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (no interativo) | Microsoft Entra ID inicios de sesión, recopilados mediante el conector de Microsoft Entra para inicios de sesión no interactivos. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (identidades administradas) | Microsoft Entra ID inicios de sesión, recopilados mediante el conector de Microsoft Entra para los inicios de sesión de Identidades administradas. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (entidad de servicio) | Microsoft Entra ID inicios de sesión, recopilados mediante el conector de Microsoft Entra para inicios de sesión de entidad de servicio. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Eventos de Microsoft Windows | Inicios de sesión de Windows (Eventos 4624, 4625, 4634, 4647) recopilados mediante Azure Agente de Supervisión o el Agente de Log Analytics en las SecurityEvent tablas o WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Autenticación de Okta, recopilada mediante el conector okta (inicio de sesión único V1). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Autenticación de Okta, recopilada mediante el conector Okta (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Autenticación de Okta, recopilada mediante en la tabla OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Lago de datos de Palo Alto Cortex | Eventos de Data Lake de Palo Alto Cortex. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | Registros de inicio de sesión de PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Eventos de Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | Eventos SentinelOne. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux actividad sshd notificada mediante Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux actividad de su notificada mediante Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux actividad de sudo notificada mediante Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Eventos de auditoría de Vectra XDR. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Eventos de VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analizadores de eventos DHCP
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de eventos DHCP normalizados | Cualquier evento normalizado en la ingesta a la ASimDhcpEventLogs tabla. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Eventos DHCP de Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
Analizadores de DNS
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros DNS normalizados | Cualquier evento normalizado en la ingesta a la ASimDnsActivityLogs tabla. El conector DNS del agente de Azure Monitor usa la ASimDnsActivityLogs tabla . |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall registros DNS. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Registros dns de Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Registros dns de Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Registros DNS de FortiGate de Fortinet. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Registros DNS de Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Eventos DNS de Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Servidores DNS de Infoblox NIOS, BIND y BlueCat. El mismo analizador admite varios orígenes. | _Im_Dns_InfobloxNIOSVxx |
|
| Servidor DNS de Microsoft | Se recopila mediante el conector DNS para el Agente de Log Analytics (heredado). | _Im_Dns_MicrosoftOMSVxx |
|
| Servidor DNS de Microsoft (NXlog) | Servidor DNS de Microsoft recopilado mediante NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon para Windows (evento) | Eventos DNS de Sysmon (evento 22) recopilados mediante Azure Agente de Supervisión o el Agente de Log Analytics (heredado) en la Event tabla. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (WindowsEvent) | Eventos DNS de Sysmon (evento 22) recopilados mediante Azure Agente de Supervisión o el Agente de Log Analytics (heredado) en la WindowsEvent tabla. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | Eventos DNS de SentinelOne. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Eventos DE DNS de Vectra AI. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Registros DNS de Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analizadores de actividad de archivo
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de eventos de archivos normalizados | Cualquier evento normalizado en la ingesta a la ASimFileEventLogs tabla. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | Eventos de archivo de AWS CloudTrail. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage eventos de archivo. | _Im_FileEvent_AzureBlobStorageVxx |
|
| almacenamiento de archivos Azure | Azure eventos de Almacenamiento de archivos. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure Queue Storage | Azure eventos de Queue Storage. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure eventos de Table Storage. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Eventos de archivo de Área de trabajo de Google. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (eventos creados) | Sysmon para Linux eventos creados en el archivo (eventos 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (eventos eliminados) | Sysmon para Linux eventos eliminados de archivos (Eventos 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de archivo de punto de conexión. | _Im_FileEvent_Microsoft365DVxx |
|
| Eventos de seguridad de Microsoft | Eventos de archivo de Windows (evento 4663) recopilados mediante el conector de eventos de seguridad. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 eventos de SharePoint y OneDrive, recopilados mediante el conector de actividad de Office. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon para Windows (evento) | Sysmon para eventos de archivo de Windows (eventos 11, 23, 26) recopilados en la Event tabla. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (WindowsEvent) | Sysmon para eventos de archivo de Windows (eventos 11, 23, 26) recopilados en la WindowsEvent tabla. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Eventos de Microsoft Windows | Eventos de archivo de Windows (evento 4663) recopilados en la WindowsEvent tabla. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Eventos de archivo SentinelOne. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | Eventos de archivo de VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Analizadores de sesión de red
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de sesión de red normalizados | Cualquier evento normalizado en la ingesta a la ASimNetworkSessionLogs tabla. El conector firewall del agente de Azure Monitor usa esta tabla. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Registros de conexión IP recopilados mediante Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| Registros de AWS VPC | Se recopila mediante el conector de AWS S3. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall registros de red. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure grupo de seguridad de red | Azure registros de flujo de grupos de seguridad de red. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Supervisión de VMConnection | Se recopila como parte de la solución Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Eventos de Barracuda recopilados mediante CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Eventos de WAF de Barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Firewall de punto de control | Eventos de firewall de punto de control recopilados mediante CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Eventos de Cisco ASA recopilados con CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Eventos de Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Eventos de Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Eventos de Cisco Meraki recopilados mediante el conector de API o Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Eventos de Cisco Meraki recopilados en la tabla Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Eventos de red de Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | Eventos de CrowdStrike Falcon Host. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint Firewall | Eventos de ForcePoint Firewall. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Eventos de firewall de FortiGate de Fortinet recopilados mediante Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Eventos de Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender para IoT (agente) | Microsoft Defender para eventos de microagente de IoT. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender para IoT (sensor) | Microsoft Defender para eventos de micro sensor de IoT. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de red de punto de conexión. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon para Linux | Sysmon para Linux eventos de red (evento 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon para Windows (evento) | Sysmon para eventos de red de Windows (evento 3) recopilados en la Event tabla. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (WindowsEvent) | Sysmon para eventos de red de Windows (evento 3) recopilados en la WindowsEvent tabla. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Firewall | Eventos de Firewall de Windows (eventos 5150-5159) recopilados mediante Azure Agente de Supervisión o el Agente de Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Firewall de eventos de Microsoft Seguridad de Windows | Eventos de Firewall de Windows recopilados a través del conector de eventos de seguridad. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Eventos de Network Traffic Analytics. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Registros de tráfico de PanOS de Palo Alto recopilados mediante CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Lago de datos de Palo Alto Cortex | Eventos de Data Lake de Palo Alto Cortex. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | Eventos de red de SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | Eventos del firewall de SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Eventos de red de Vectra AI. Admite el parámetro pack. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | Eventos de red de VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| Sistema operativo WatchGuard Fireware | Eventos del sistema operativo WatchGuard Fireware recopilados mediante Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Registros de firewall de Zscaler ZIA recopilados mediante CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Procesar analizadores de eventos
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de eventos de proceso normalizados | Cualquier evento normalizado en la ingesta a la ASimProcessEventLogs tabla. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Crear) | Sysmon para Linux eventos de creación de procesos (Eventos 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Finalizar) | Sysmon para Linux eventos de terminación de procesos (Eventos 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender para IoT | Microsoft Defender para eventos de proceso de IoT. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos de proceso de punto de conexión. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Eventos de seguridad de Microsoft (crear) | Seguridad de Windows Eventos procesa eventos de creación (Eventos 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Eventos de seguridad de Microsoft (finalizar) | Seguridad de Windows Eventos procesan eventos de terminación (Eventos 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon para Windows (Crear) | Eventos de proceso de Sysmon para Windows (evento 1) recopilados en las Event tablas. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon para Windows (finalizar) | Eventos de proceso de Sysmon para Windows (evento 5) recopilados en las Event tablas. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Eventos de Microsoft Windows (crear) | Eventos de proceso de Windows (evento 4688) recopilados en la WindowsEvent tabla. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Eventos de Microsoft Windows (finalizar) | Eventos de proceso de Windows (evento 4689) recopilados en la WindowsEvent tabla. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Eventos de proceso de SentinelOne. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Eventos de proceso de Trend Micro Vision One. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Crear) | Eventos de creación de procesos de VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (finalizar) | Eventos de terminación del proceso de VMware Carbon Black Cloud. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Analizadores de eventos del Registro
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de eventos del Registro normalizados | Cualquier evento normalizado en la ingesta a la ASimRegistryEventLogs tabla. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR para eventos del Registro de punto de conexión. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Eventos de seguridad de Microsoft | Seguridad de Windows eventos del Registro de eventos (Eventos 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon para Windows | Sysmon para eventos del Registro de Windows (eventos 12, 13, 14) recopilados en las Event tablas o WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Eventos de Microsoft Windows | Eventos del Registro de Windows recopilados en la WindowsEvent tabla. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | Eventos del Registro SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Eventos del registro de Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | Eventos del Registro de VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Analizadores de administración de usuarios
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de administración de usuarios normalizados | Cualquier evento normalizado en la ingesta a la ASimUserManagementLogs tabla. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | Eventos de administración de usuarios de AWS CloudTrail. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Eventos de administración de usuarios de Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux eventos de administración de usuarios de authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Eventos de seguridad de Microsoft | eventos Seguridad de Windows eventos de administración de usuarios. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Eventos de Microsoft Windows | Eventos de administración de usuarios de Windows recopilados en la WindowsEvent tabla. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | Eventos de administración de usuarios de SentinelOne. | _Im_UserManagement_SentinelOneVxx |
false |
Analizadores de sesión web
| Source | Notas | Analizador | Usa el parámetro pack |
|---|---|---|---|
| Registros de sesión web normalizados | Cualquier evento normalizado en la ingesta a la ASimWebSessionLogs tabla. |
_Im_WebSession_Native |
|
| Servidor APACHE HTTP | Registros del servidor HTTP de Apache. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall registros de sesión web. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Eventos de Barracuda recopilados mediante CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Eventos de WAF de Barracuda. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Eventos web de Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Eventos web de Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Eventos web de Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | Eventos web de ASM F5. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Registros de sesión web de FortiGate de Fortinet. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | Registros de IIS recopilados mediante Azure Agente de Supervisión o Agente de Log Analytics. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Registros de amenazas de PanOS de Palo Alto recopilados mediante CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Lago de datos de Palo Alto Cortex | Eventos de Data Lake de Palo Alto Cortex. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | Eventos web de SonicWall Firewall. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Proxy de calamar | Registros web del proxy de calamar. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Eventos web de Vectra AI. Admite el parámetro pack. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Registros web de Zscaler ZIA recopilados mediante CEF. | _Im_WebSession_ZscalerZIAVxx |
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Uso de analizadores de ASIM
- Desarrollo de analizadores personalizados de ASIM
- Administración de analizadores de ASIM
Más información sobre ASIM:
- Vea el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)