Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tämä asiakirja sisältää luettelon ASIM-jäsennyksistä. ASIM-jäsentimien yleiskatsaus on jäsennysten yleiskatsauksessa. Jos haluat tietää, miten jäsentimet mahtuvat ASIM-arkkitehtuuriin, tutustu ASIM-arkkitehtuurikaavioon.
Jäsennyksillä, joiden alla Uses pack parameter ei ole arvoa, ei ole täytetty saraketta AdditionalFields .
Ilmoitustapahtuman jäsentimet
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR ilmoitustapahtumia AlertEvidence (taulukossa). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | SentinelOne Singularity Threat -tapahtumat ( SentinelOne_CL taulukossa). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Tapahtuman jäsentäjien valvonta
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut valvontatapahtumalokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimAuditEventLogs . |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-auditointitapahtumat. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure toiminto | Azure Toimintotapahtumat AzureActivity (taulukossa) luokassa Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault valvontatapahtumia. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | CEF:n avulla kerätyt Barracuda-tapahtumat. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF -tapahtumat. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE -tapahtumat. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki -tapahtumat, jotka kerätään ohjelmointirajapintaliittimellä tai Syslog-liittimellä. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Syslog-taulukkoon kerätyt Cisco Meraki -tapahtumat. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host -tapahtumat. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core -tapahtumat. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne -tapahtumat. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | Taulukossa kerätyt Windowsin valvontatapahtumat Event |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Exchange Administrative -tapahtumat, jotka kerätään käyttämällä Office 365 -liitintä OfficeActivity (taulukossa). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsoftin tietoturvatapahtumat | Windowsin tapahtuma 1102 kerätään käyttämällä Azure Monitor Agentia (taulukoiden SecurityEvent avulla). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows -tapahtumat | Windowsin tapahtuma 1102 kerätään käyttämällä Azure Monitor Agentia (taulukoiden WindowsEvent avulla). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-tapahtumat. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR -valvontatapahtumat. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud -tapahtumat. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Todennus jäsentäjät
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut todennuslokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimAuthenticationEventLogs . |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS-kirjautumiset, jotka kerätään AWS CloudTrail -liittimellä. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF -tapahtumat. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Cisco ASA -tapahtumat, jotka on kerätty CEF:n avulla. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE -tapahtumat. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki -tapahtumat, jotka kerätään ohjelmointirajapintaliittimellä tai Syslog-liittimellä. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Syslog-taulukkoon kerätyt Cisco Meraki -tapahtumat. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Host -tapahtumat. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate järjestelmänvalvojan lokit. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Google Workspace -kirjautumiset. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core -tapahtumat. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender IoT:lle | Microsoft Defender IoT-todennustapahtumille. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | windowsin ja Linux päätepisteiden kirjautumisten Microsoft Defender XDR. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID kirjautumiset, jotka kerätään Microsoft Entra-liittimellä säännöllisiä kirjautumisia varten. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (ei-interatiivi) | Microsoft Entra ID kirjautumisia, jotka kerätään käyttämällä Microsoft Entra-liitintä ei-vuorovaikutteisille kirjautumisille. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (hallitut käyttäjätiedot) | Microsoft Entra ID kirjautumisia, jotka kerätään Microsoft Entra-liittimellä hallittujen käyttäjätietojen kirjautumisia varten. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (palvelun päänimi) | Microsoft Entra ID kirjautumiset, jotka kerätään palvelun päänimen kirjautumisten Microsoft Entra -liittimellä. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows -tapahtumat | Windows-kirjautumiset (tapahtumat 4624, 4625, 4634, 4647) kerätään Azure Monitor Agentin tai Log Analytics Agentin SecurityEventWindowsEvent avulla. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Okta-todennus, kerätään Okta-liittimellä (V1-kertakirjautuminen). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Okta-todennus, kerätään Okta-liittimellä (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Okta-todennus, kerätään oktasystemlogs-taulukosta. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake -tapahtumat. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| Postgresql | PostgreSQL-kirjautumislokit. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud -tapahtumat. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne-tapahtumat. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux sshd-toimintoa, joka on raportoitu Syslog-työkalun avulla. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux syslog-toiminnon avulla ilmoitetut su-toiminnot. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux syslog-toiminnon avulla ilmoitettua sudo-toimintoa. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR -valvontatapahtumat. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud -tapahtumat. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP-tapahtuma jäsentäjät
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut DHCP-tapahtumalokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimDhcpEventLogs . |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP -tapahtumat. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS-jäsentimet
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut DNS-lokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimDnsActivityLogs . Azure Monitor Agentin DNS-liitin käyttää taulukkoaASimDnsActivityLogs. |
_Im_Dns_Native |
|
| Azure-palomuuri | Azure-palomuuri DNS-lokit. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco-sateenvarjo | Cisco Umbrella DNS -lokit. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Corelight Zeek DNS -lokit. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS-lokit. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Google Cloud Platformin DNS-lokit. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS-tapahtumat. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS-, BIND- ja BlueCat DNS -palvelimet. Sama jäsennin tukee useita lähteitä. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Kerätään Log Analytics Agentin DNS-liittimellä (vanha). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS Server kerätään NXlog:n avulla. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon for Windows (tapahtuma) | Sysmon DNS -tapahtumat (tapahtuma 22), jotka kerätään käyttämällä Azure Monitor Agentista tai Log Analytics Agentista (vanha) taulukkoonEvent. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (WindowsEvent) | Sysmon DNS -tapahtumat (tapahtuma 22), jotka kerätään käyttämällä Azure Monitor Agentista tai Log Analytics Agentista (vanha) taulukkoonWindowsEvent. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS-tapahtumat. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Vectra AI DNS -tapahtumat. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Zscaler ZIA DNS -lokit. | _Im_Dns_ZscalerZIAVxx |
Tiedostotoimintojen jäsentimet
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoitujen tiedostojen tapahtumalokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimFileEventLogs . |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-tiedostotapahtumat. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob-säilö | Azure Blob-säilön tiedostotapahtumat. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Azure tiedostosäilö | Azure Tiedostojen tallennustapahtumat. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure jonotallennustilaa | Azure jonotallennustilan tapahtumia. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure taulukkosäilö | Azure Taulukon tallennus -tapahtumat. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Google Workspace -tiedostotapahtumat. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (luodut tapahtumat) | Sysmon for Linux -tiedoston luontitapahtumat (tapahtumat 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (poistetut tapahtumat) | sysmon for Linux -tiedosto poisti tapahtumia (tapahtumat 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR päätepistetiedostotapahtumia varten. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsoftin tietoturvatapahtumat | Suojaustapahtumat-liittimellä kerätyt Windowsin tiedostotapahtumat (tapahtuma 4663). | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 SharePoint- ja OneDrive-tapahtumia, jotka kerätään Office Activity -liittimellä. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon for Windows (tapahtuma) | Taulukkoon kerätyt Event Sysmon for Windows -tiedostotapahtumat (tapahtumat 11, 23, 26). |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (WindowsEvent) | Taulukkoon kerätyt WindowsEvent Sysmon for Windows -tiedostotapahtumat (tapahtumat 11, 23, 26). |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows -tapahtumat | Taulukkoon kerätyt Windows-tiedostotapahtumat WindowsEvent (tapahtuma 4663). |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-tiedostotapahtumat. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud -tiedostotapahtumat. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Verkkoistunnon jäsentimet
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut verkkoistunnon lokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimNetworkSessionLogs . Azure Monitor Agentin palomuuriyhdistin käyttää tätä taulukkoa. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Syslog-lokin avulla kerätyt IP-yhteyslokit. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC -lokit | Kerätään AWS S3 -liittimellä. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure-palomuuri | Azure-palomuuri verkkolokeista. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure verkon käyttöoikeusryhmien työnkulun lokit. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Monitor VMConnection | Kerätään osana Azure Monitor VM Insights -ratkaisua. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | CEF:n avulla kerätyt Barracuda-tapahtumat. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF -tapahtumat. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Tarkistuspisteen palomuuri | Tarkistuspisteen palomuurin tapahtumat, jotka kerätään CEF:n avulla. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Cisco ASA -tapahtumat, jotka on kerätty CEF:n avulla. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower -tapahtumat. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE -tapahtumat. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki -tapahtumat, jotka kerätään ohjelmointirajapintaliittimellä tai Syslog-liittimellä. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Syslog-taulukkoon kerätyt Cisco Meraki -tapahtumat. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek -verkkotapahtumat. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host -tapahtumat. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint-palomuuri | ForcePoint-palomuurin tapahtumat. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate Syslog:n avulla kerätyt palomuuritapahtumat. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core -tapahtumat. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender IoT:lle (agentti) | Microsoft Defender IoT-mikroagentin tapahtumia varten. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| IoT:n (tunnistimen) Microsoft Defender | Microsoft Defender IoT-mikroanturitapahtumia varten. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR päätepisteen verkkotapahtumille. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon for Linux | Linux verkkotapahtumien Sysmon (tapahtuma 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon for Windows (tapahtuma) | Taulukkoon kerätyt Sysmon for Windows -verkkotapahtumat Event (tapahtuma 3). |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (WindowsEvent) | Taulukkoon kerätyt Sysmon for Windows -verkkotapahtumat WindowsEvent (tapahtuma 3). |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windowsin palomuuri | Windowsin palomuuritapahtumat (tapahtumat 5150-5159), jotka kerätään Azure Monitor Agentin tai Log Analytics Agentin avulla. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Microsoft Windowsin suojaus tapahtumien palomuuri | Suojaustapahtumat-liittimen kautta kerätyt Windowsin palomuurin tapahtumat. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Verkkoliikenteen analytiikan tapahtumat. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Palo Alto PanOS -liikennelokit, jotka on kerätty CEF:n avulla. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake -tapahtumat. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne-verkkotapahtumat. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall palomuuri | SonicWall Palomuurin tapahtumat. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Vectra AI -verkkotapahtumat. Tukee pack-parametria. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud -verkkotapahtumat. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | WatchGuard Fireware-käyttöjärjestelmätapahtumat kerätään Syslog-toiminnolla. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Zscaler ZIA -palomuurilokit, jotka kerätään CEF:n avulla. | _Im_NetworkSession_ZscalerZIAVxx |
Prosessitapahtuman jäsentäjät
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut prosessin tapahtumalokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimProcessEventLogs . |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Luo) | Sysmon Linux prosessinluontitapahtumille (tapahtumat 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Lopeta) | Sysmon Linux prosessin päättämistapahtumille (tapahtumat 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender IoT:lle | Microsoft Defender IoT-prosessitapahtumille. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR päätepisteprosessin tapahtumia varten. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft security -tapahtumat (luo) | Windowsin suojaus Tapahtumat käsittelevät luontitapahtumia (tapahtumat 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsoftin tietoturvatapahtumat (lopeta) | Windowsin suojaus Tapahtumat-prosessin päättymistapahtumat (tapahtumat 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon for Windows (Luo) | Sysmon windows prosessitapahtumille (tapahtuma 1), jotka kerätään taulukoihin Event . |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (Lopeta) | Sysmon Windowsin prosessitapahtumille (tapahtuma 5), jotka kerätään taulukoihin Event . |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows -tapahtumat (Luo) | Taulukkoon kerätyt Windowsin prosessitapahtumat WindowsEvent (tapahtuma 4688). |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows -tapahtumat (Lopeta) | Taulukkoon kerätyt Windowsin prosessitapahtumat WindowsEvent (tapahtuma 4689). |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne process events. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision 1 | Trend Micro Vision One -prosessitapahtumat. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Luo) | VMware Carbon Black Cloud -prosessin luontitapahtumat. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Lopeta) | VMware Carbon Black Cloud -prosessin päättymistapahtumat. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Rekisteritapahtuman jäsentimet
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut rekisteritapahtumalokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimRegistryEventLogs . |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR päätepisteen rekisteritapahtumille. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsoftin tietoturvatapahtumat | Windowsin suojaus Tapahtumien rekisteritapahtumat (tapahtumat 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon for Windows | Sysmon Windowsin rekisteritapahtumille (tapahtumat 12, 13, 14), jotka on kerätty tai EventWindowsEvent -taulukoihin. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows -tapahtumat | Taulukkoon kerätyt Windowsin rekisteritapahtumat WindowsEvent . |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-rekisteritapahtumat. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision 1 | Trend Micro Vision One -rekisteritapahtumat. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloudin rekisteritapahtumat. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Käyttäjähallinnan jäsentimet
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut käyttäjien hallintalokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimUserManagementLogs . |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail-käyttäjien hallintatapahtumat. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE -käyttäjien hallintatapahtumat. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux authpriv-käyttäjien hallintatapahtumat. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsoftin tietoturvatapahtumat | Windowsin suojaus Tapahtumien käyttäjien hallintatapahtumat. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows -tapahtumat | Taulukkoon kerätyt Windows-käyttäjien hallintatapahtumat WindowsEvent . |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOnen käyttäjien hallintatapahtumat. | _Im_UserManagement_SentinelOneVxx |
false |
WWW-istuntojen jäsennykset
| Lähde | Huomautuksia | Parser | Käyttää pack-parametria |
|---|---|---|---|
| Normalisoidut WWW-istuntolokit | Mikä tahansa tapahtuma normalisoitu taulukkoon tietojen käsittelyhetkellä ASimWebSessionLogs . |
_Im_WebSession_Native |
|
| Apache HTTP Server | Apache HTTP Server -lokit. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure-palomuuri | Azure-palomuuri WWW-istunnon lokit. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | CEF:n avulla kerätyt Barracuda-tapahtumat. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF -tapahtumat. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower -verkkotapahtumat. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki -verkkotapahtumat. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Citrix NetScaler -verkkotapahtumat. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM-verkkotapahtumat. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate verkkoistunnon lokit. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | Azure Monitor Agentin tai Log Analytics Agentin avulla kerätyt IIS-lokit. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Palo Alto PanOS -uhkalokit, jotka on kerätty CEF:n avulla. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake -tapahtumat. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall palomuuri | SonicWall Palomuuri -verkkotapahtumat. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Mustekalavälityspalvelin | Kaltevan välityspalvelimen verkkolokit. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI -verkkotapahtumat. Tukee pack-parametria. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | CEF:n avulla kerätyt Zscaler ZIA -verkkolokit. | _Im_WebSession_ZscalerZIAVxx |
Seuraavat vaiheet
Lisätietoja ASIM-jäsennyksistä:
Lisätietoja ASIM:stä: