Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce document fournit une liste des analyseurs ASIM (Advanced Security Information Model). Pour obtenir une vue d’ensemble des analyseurs ASIM, reportez-vous à la vue d’ensemble des analyseurs. Pour comprendre comment les analyseurs s’intègrent dans l’architecture ASIM, reportez-vous au diagramme de l’architecture ASIM.
Les analyseurs qui n’ont pas de valeur sous Uses pack parameter n’ont pas la AdditionalFields colonne remplie.
Analyseurs d’événements d’alerte
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR événements d’alerte (dans le AlertEvidence tableau). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | Événements de menace SentinelOne Singularity (dans le SentinelOne_CL tableau). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analyseurs d’événements d’audit
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux des événements d’audit normalisés | Tout événement normalisé lors de l’ingestion dans la ASimAuditEventLogs table. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | Événements d’audit AWS CloudTrail. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| activité Azure | Azure événements d’activité (dans le AzureActivity tableau) dans la catégorie Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault les événements d’audit. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Événements Barracuda collectés à l’aide de CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Événements WAF Barracuda. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Événements Cisco ISE. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Événements Cisco Meraki collectés à l’aide du connecteur d’API ou de Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Événements Cisco Meraki collectés dans la table Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | Événements CrowdStrike Falcon Host. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Événements Illumio SaaS Core. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Événements Infoblox BloxOne. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Événements Microsoft | Événements d’audit Windows collectés dans le Event tableau |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Événements d’administration Exchange collectés à l’aide du connecteur Office 365 (dans le OfficeActivity tableau). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Événements de sécurité Microsoft | Événement Windows 1102 collecté à l’aide de Azure Monitor Agent (à l’aide des SecurityEvent tables). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Événements Microsoft Windows | Événement Windows 1102 collecté à l’aide de Azure Monitor Agent (à l’aide des WindowsEvent tables). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Événements SentinelOne. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Événements d’audit XDR Vectra. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Événements VMware Carbon Black Cloud. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Analyseurs d’authentification
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux d’authentification normalisés | Tout événement normalisé lors de l’ingestion dans la ASimAuthenticationEventLogs table. |
_Im_Authentication_Native |
|
| AWS CloudTrail | Connexions AWS, collectées à l’aide du connecteur AWS CloudTrail. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Événements WAF Barracuda. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Événements Cisco ASA collectés à l’aide de CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Événements Cisco ISE. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Événements Cisco Meraki collectés à l’aide du connecteur d’API ou de Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Événements Cisco Meraki collectés dans la table Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | Événements CrowdStrike Falcon Host. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Journaux d’administration système Fortinet Fortigate. | _Im_Authentication_FortigateVxx |
|
| Passer de Google Workspace | Connexions à Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Événements Illumio SaaS Core. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender pour IoT | Microsoft Defender pour les événements d’authentification IoT. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR pour les connexions de point de terminaison pour Windows et Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Identifiant Microsoft Entra | Microsoft Entra ID connexions, collectées à l’aide du connecteur Microsoft Entra pour les connexions régulières. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (non interative) | Microsoft Entra ID connexions, collectées à l’aide du connecteur Microsoft Entra pour les connexions non interactives. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (identités managées) | Microsoft Entra ID connexions, collectées à l’aide du connecteur Microsoft Entra pour les connexions d’identités managées. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (principal du service) | Microsoft Entra ID connexions, collectées à l’aide du connecteur Microsoft Entra pour les connexions du principal du service. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Événements Microsoft Windows | Connexions Windows (événements 4624, 4625, 4634, 4647) collectées à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics dans les SecurityEvent tables ou WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Authentification Okta, collectée à l’aide du connecteur Okta (authentification unique V1). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Authentification Okta, collectée à l’aide du connecteur Okta (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Authentification Okta, collectée à l’aide de dans la table OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Événements Palo Alto Cortex Data Lake. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | Journaux de connexion PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Événements Salesforce Service Cloud. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | Événements SentinelOne. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux activité sshd signalée à l’aide de Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux activité su signalée à l’aide de Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux activité sudo signalée à l’aide de Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Événements d’audit XDR Vectra. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | Événements VMware Carbon Black Cloud. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
Analyseurs d’événements DHCP
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux des événements DHCP normalisés | Tout événement normalisé lors de l’ingestion dans la ASimDhcpEventLogs table. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Événements DHCP Infoblox BloxOne. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
Analyseurs DNS
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux DNS normalisés | Tout événement normalisé lors de l’ingestion dans la ASimDnsActivityLogs table. Le connecteur DNS de l’agent Azure Monitor utilise la ASimDnsActivityLogs table . |
_Im_Dns_Native |
|
| Pare-feu Azure | Pare-feu Azure journaux DNS. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Journaux DNS Cisco Umbrella. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Journaux DNS Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Journaux DNS Fortinet FortiGate. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Journaux DNS Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Événements DNS Infoblox BloxOne. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Serveurs DNS Infoblox NIOS, BIND et BlueCat. Le même analyseur prend en charge plusieurs sources. | _Im_Dns_InfobloxNIOSVxx |
|
| Serveur Microsoft DNS | Collecté à l’aide du connecteur DNS pour l’agent Log Analytics (hérité). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS Server collecté à l’aide de NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon pour Windows (événement) | Événements DNS Sysmon (événement 22) collectés à l’aide de Azure’agent Monitor ou de l’agent Log Analytics (hérité) dans la Event table. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon pour Windows (WindowsEvent) | Événements DNS Sysmon (événement 22) collectés à l’aide de Azure’agent Monitor ou de l’agent Log Analytics (hérité) dans la WindowsEvent table. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | Événements DNS SentinelOne. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Événements DNS Vectra AI. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Journaux DNS Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Analyseurs d’activité de fichier
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux des événements de fichier normalisés | Tout événement normalisé lors de l’ingestion dans la ASimFileEventLogs table. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | Événements de fichier AWS CloudTrail. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Stockage Blob Azure | Stockage Blob Azure événements de fichier. | _Im_FileEvent_AzureBlobStorageVxx |
|
| stockage de fichiers Azure | Azure événements de stockage de fichiers. | _Im_FileEvent_AzureFileStorageVxx |
|
| Stockage file d’attente Azure | Azure événements de stockage file d’attente. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure événements de Stockage Table. | _Im_FileEvent_AzureTableStorageVxx |
|
| Passer de Google Workspace | Événements de fichier Google Workspace. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (événements créés) | Sysmon pour Linux événements créés par le fichier (Événements 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (événements supprimés) | Sysmon pour Linux fichiers supprimés (événements 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR pour les événements de fichier de point de terminaison. | _Im_FileEvent_Microsoft365DVxx |
|
| Événements de sécurité Microsoft | Événements de fichier Windows (événement 4663) collectés à l’aide du connecteur Événements de sécurité. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 événements SharePoint et OneDrive, collectés à l’aide du connecteur d’activité Office. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon pour Windows (événement) | Événements de fichier Sysmon pour Windows (événements 11, 23, 26) collectés dans la Event table. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon pour Windows (WindowsEvent) | Événements de fichier Sysmon pour Windows (événements 11, 23, 26) collectés dans la WindowsEvent table. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Événements Microsoft Windows | Événements de fichier Windows (événement 4663) collectés dans la WindowsEvent table. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Événements de fichier SentinelOne. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | Événements de fichier VMware Carbon Black Cloud. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Analyseurs de session réseau
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux de session réseau normalisés | Tout événement normalisé lors de l’ingestion dans la ASimNetworkSessionLogs table. Le connecteur de pare-feu pour l’agent Azure Monitor utilise cette table. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Journaux de connexion IP collectés à l’aide de Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| Journaux d’activité AWS VPC | Collecté à l’aide du connecteur AWS S3. | _Im_NetworkSession_AWSVPCVxx |
|
| Pare-feu Azure | Pare-feu Azure journaux réseau. | _Im_NetworkSession_AzureFirewallVxx |
false |
| groupe de sécurité réseau Azure | Azure journaux de flux des groupes de sécurité réseau. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Monitor VMConnection | Collecté dans le cadre de la solution Azure Monitor VM Insights. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Événements Barracuda collectés à l’aide de CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Événements WAF Barracuda. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Pare-feu de point de contrôle | Événements de pare-feu de point de contrôle collectés à l’aide de CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Événements Cisco ASA collectés à l’aide de CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Puissance de feu Cisco | Événements Cisco Firepower. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Événements Cisco ISE. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Événements Cisco Meraki collectés à l’aide du connecteur d’API ou de Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Événements Cisco Meraki collectés dans la table Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Événements réseau Corelight Zeek. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | Événements CrowdStrike Falcon Host. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| Pare-feu ForcePoint | Événements du pare-feu ForcePoint. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Événements de pare-feu FortiGate Fortinet collectés à l’aide de Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Événements Illumio SaaS Core. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender pour IoT (agent) | Microsoft Defender pour les événements de micro-agent IoT. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender pour IoT (capteur) | Microsoft Defender pour les événements de micro capteur IoT. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR pour les événements réseau de point de terminaison. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon pour Linux | Sysmon pour Linux événements réseau (événement 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon pour Windows (événement) | Événements réseau Sysmon pour Windows (événement 3) collectés dans la Event table. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon pour Windows (WindowsEvent) | Événements réseau Sysmon pour Windows (événement 3) collectés dans la WindowsEvent table. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Pare-feu Microsoft Windows | Événements du Pare-feu Windows (événements 5150-5159) collectés à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Pare-feu d’événements Microsoft Sécurité Windows | Événements du Pare-feu Windows collectés via le connecteur Événements de sécurité. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Événements Network Traffic Analytics. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Journaux de trafic Palo Alto PanOS collectés à l’aide de CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Événements Palo Alto Cortex Data Lake. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | Événements réseau SentinelOne. | _Im_NetworkSession_SentinelOneVxx |
|
| Pare-feu SonicWall | Événements de pare-feu SonicWall. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Événements réseau Vectra AI. Prend en charge le paramètre pack. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | Événements réseau VMware Carbon Black Cloud. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| Système d’exploitation WatchGuard Fireware | WatchGuard Événements de système d’exploitation Fireware collectés à l’aide de Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Journaux de pare-feu Zscaler ZIA collectés à l’aide de CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Analyseurs d’événements de processus
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux des événements de processus normalisés | Tout événement normalisé lors de l’ingestion dans la ASimProcessEventLogs table. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Créer) | Sysmon pour Linux événements de création de processus (événements 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Terminate) | Sysmon pour Linux événements d’arrêt de processus (événements 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender pour IoT | Microsoft Defender pour les événements de processus IoT. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR pour les événements de processus de point de terminaison. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Événements de sécurité Microsoft (Créer) | événements Sécurité Windows processus de création d’événements (événements 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Événements de sécurité Microsoft (Terminate) | les événements Sécurité Windows traitent les événements d’arrêt (événements 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon pour Windows (Créer) | Sysmon pour Windows traite les événements (événement 1) collectés dans les Event tables. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon pour Windows (Terminate) | Sysmon pour Windows traite les événements (événement 5) collectés dans les Event tables. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Événements Microsoft Windows (Créer) | Événements de traitement Windows (événement 4688) collectés dans la WindowsEvent table. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Événements Microsoft Windows (Terminate) | Événements de traitement Windows (événement 4689) collectés dans la WindowsEvent table. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | Événements de processus SentinelOne. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One traite les événements. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Créer) | Événements de création de processus VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Terminate) | Événements d’arrêt de processus VMware Carbon Black Cloud. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Analyseurs d’événements de registre
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux des événements du registre normalisés | Tout événement normalisé lors de l’ingestion dans la ASimRegistryEventLogs table. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR pour les événements du Registre de point de terminaison. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Événements de sécurité Microsoft | Sécurité Windows événements du Registre des événements (événements 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon pour Windows | Événements de Registre Sysmon pour Windows (événements 12, 13, 14) collectés dans les Event tables ou WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Événements Microsoft Windows | Événements du Registre Windows collectés dans la WindowsEvent table. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | Événements de Registre SentinelOne. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Événements de Registre Trend Micro Vision One. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | Événements de registre VMware Carbon Black Cloud. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Analyseurs de gestion des utilisateurs
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux de gestion des utilisateurs normalisés | Tout événement normalisé lors de l’ingestion dans la ASimUserManagementLogs table. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | Événements de gestion des utilisateurs AWS CloudTrail. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Événements de gestion des utilisateurs Cisco ISE. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux événements de gestion des utilisateurs authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Événements de sécurité Microsoft | Sécurité Windows événements de gestion des utilisateurs. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Événements Microsoft Windows | Événements de gestion des utilisateurs Windows collectés dans la WindowsEvent table. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne événements de gestion des utilisateurs. | _Im_UserManagement_SentinelOneVxx |
false |
Analyseurs de session web
| Source | Remarques | Analyseur | Utilise le paramètre pack |
|---|---|---|---|
| Journaux de session web normalisés | Tout événement normalisé lors de l’ingestion dans la ASimWebSessionLogs table. |
_Im_WebSession_Native |
|
| Serveur HTTP Apache | Journaux du serveur HTTP Apache. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Pare-feu Azure | Pare-feu Azure journaux de session web. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Événements Barracuda collectés à l’aide de CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Événements WAF Barracuda. | _Im_WebSession_BarracudaWAFVxx |
false |
| Puissance de feu Cisco | Événements web Cisco Firepower. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Événements web Cisco Meraki. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Événements web Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | Événements web F5 ASM. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Journaux de session web Fortinet FortiGate. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Services Internet (IIS) | Journaux IIS collectés à l’aide de l’agent Azure Monitor ou de l’agent Log Analytics. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Journaux des menaces Palo Alto PanOS collectés à l’aide de CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Événements Palo Alto Cortex Data Lake. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| Pare-feu SonicWall | Événements web du pare-feu SonicWall. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Squid Proxy | Journaux web du proxy Squid. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Événements web Vectra AI. Prend en charge le paramètre pack. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Journaux web Zscaler ZIA collectés à l’aide de CEF. | _Im_WebSession_ZscalerZIAVxx |
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
En savoir plus sur ASIM :
- Regardez le webinaire approfondi sur Microsoft Sentinel normalisation des analyseurs et du contenu normalisé ou passez en revue les diapositives
- Vue d’ensemble du modèle ASIM (Advanced Security Information Model)
- Schémas ASIM (Advanced Security Information Model)
- Contenu ASIM (Advanced Security Information Model)