Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Dette dokumentet inneholder en liste over ASIM-analyser (Advanced Security Information Model). Hvis du vil ha en oversikt over ASIM-analyser, kan du se analyseoversikten. Hvis du vil forstå hvordan analyser passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.
Parsers that don't have a value under Uses pack parameter don't have the AdditionalFields column populated.
Varsler for hendelsesanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR varslingshendelser (i AlertEvidence tabellen). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | SentinelOne Singularity-trusselhendelser (i SentinelOne_CL tabellen). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Analyser for overvåkingshendelse
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte overvåkingshendelseslogger | Alle hendelser normalisert ved inntak til tabellen ASimAuditEventLogs . |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-overvåkingshendelser. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure aktivitet | Azure Aktivitetshendelser (i AzureActivity tabellen) i kategorien Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault overvåkingshendelser. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Barracuda hendelser samlet inn ved hjelp av CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF hendelser. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE-hendelser. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-hendelser samlet inn ved hjelp av API-koblingen eller Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Cisco Meraki-hendelser samlet inn i tabellen Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Vertsarrangementer. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-hendelser. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne-hendelser. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Arrangementer | Windows-overvåkingshendelser samlet inn i Event tabellen |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Administrative Exchange-hendelser som samles inn ved hjelp av Office 365 kobling (i OfficeActivity tabellen). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsofts sikkerhetshendelser | Windows Event 1102 samlet inn ved hjelp av Azure Monitor Agent (ved hjelp av tabelleneSecurityEvent). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows-hendelser | Windows Event 1102 samlet inn ved hjelp av Azure Monitor Agent (ved hjelp av tabelleneWindowsEvent). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne hendelser. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR-overvåkingshendelser. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-hendelser. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Godkjenningsanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte godkjenningslogger | Alle hendelser normalisert ved inntak til tabellen ASimAuthenticationEventLogs . |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS-pålogginger, samlet inn ved hjelp av AWS CloudTrail-koblingen. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF hendelser. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Cisco ASA-hendelser samlet inn ved hjelp av CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE-hendelser. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-hendelser samlet inn ved hjelp av API-koblingen eller Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-hendelser samlet inn i tabellen Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Vertsarrangementer. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Systemadministratorlogger for Fortinet Fortigate. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Pålogginger for Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core-hendelser. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender for IoT | Microsoft Defender for IoT-godkjenningshendelser. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for endepunktpålogginger for Windows og Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID pålogginger, samlet inn ved hjelp av Microsoft Entra kobling for vanlige pålogginger. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (ikke-interativ) | Microsoft Entra ID pålogginger, samlet inn ved hjelp av Microsoft Entra-koblingen for ikke-interaktive pålogginger. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (administrerte identiteter) | Microsoft Entra ID pålogginger, samlet inn ved hjelp av Microsoft Entra-koblingen for pålogginger for administrerte identiteter. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (tjenestekontohaver) | Microsoft Entra ID pålogginger, samlet inn ved hjelp av Microsoft Entra-koblingen for pålogginger for tjenestekontohaver. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows-hendelser | Windows-pålogginger (Hendelser 4624, 4625, 4634, 4647) samlet inn ved hjelp av Azure Monitor Agent eller Log Analytics Agent til tabellene SecurityEvent eller WindowsEvent tabellene. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Okta-godkjenning, samlet inn ved hjelp av Okta-koblingen (V1 SSO). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Okta-godkjenning, samlet inn ved hjelp av Okta-koblingen (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Okta-godkjenning, samlet inn ved hjelp av i OktaSystemLogs-tabellen. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake hendelser. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| Postgresql | PostgreSQL-påloggingslogger. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud-hendelser. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne hendelser. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux sshd-aktivitet rapportert ved hjelp av Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux su-aktivitet rapportert ved hjelp av Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux sudo-aktivitet rapportert ved hjelp av Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR-overvåkingshendelser. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-hendelser. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP-hendelsesanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte DHCP-hendelseslogger | Alle hendelser normalisert ved inntak til tabellen ASimDhcpEventLogs . |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP-hendelser. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS-analyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte DNS-logger | Alle hendelser normalisert ved inntak til tabellen ASimDnsActivityLogs . DNS-koblingen for Azure Monitor Agent bruker ASimDnsActivityLogs tabellen. |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall DNS-logger. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Cisco Umbrella DNS-logger. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Dns-logger for Corelight Zeek. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS-logger. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | DNS-logger for Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS-hendelser. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS-, BIND- og BlueCat DNS-servere. Den samme parseren støtter flere kilder. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Samlet inn ved hjelp av DNS-koblingen for Log Analytics Agent (eldre). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS Server samlet inn ved hjelp av NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon for Windows (hendelse) | Sysmon DNS-hendelser (Hendelse 22) samlet inn ved hjelp av Azure Monitor Agent eller Log Analytics Agent (eldre) til Event tabellen. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (WindowsEvent) | Sysmon DNS-hendelser (Hendelse 22) samlet inn ved hjelp av Azure Monitor Agent eller Log Analytics Agent (eldre) til WindowsEvent tabellen. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS-hendelser. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Dns-hendelser for Vectra AI. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | DNS-logger for Zscaler ZIA. | _Im_Dns_ZscalerZIAVxx |
Filaktivitetsanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte filhendelseslogger | Alle hendelser normalisert ved inntak til tabellen ASimFileEventLogs . |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-filhendelser. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage filhendelser. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Azure Fillagring | Azure File Storage-hendelser. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure kølagring | Azure kølagringshendelser. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure Table Storage-hendelser. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Google Workspace-filhendelser. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (opprettede hendelser) | Sysmon for Linux filopprettede hendelser (Hendelser 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (Slettede hendelser) | Sysmon for Linux fil slettede hendelser (hendelser 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for endepunktfilhendelser. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsofts sikkerhetshendelser | Windows-filhendelser (Hendelse 4663) samlet inn ved hjelp av Security Events-koblingen. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 SharePoint- og OneDrive-hendelser, samlet inn ved hjelp av Office-aktivitetskoblingen. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon for Windows (hendelse) | Sysmon for Windows-filhendelser (hendelser 11, 23, 26) samlet inn i Event tabellen. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (WindowsEvent) | Sysmon for Windows-filhendelser (hendelser 11, 23, 26) samlet inn i WindowsEvent tabellen. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-hendelser | Windows-filhendelser (Hendelse 4663) samlet inn i WindowsEvent tabellen. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-filhendelser. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-filhendelser. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Analyser for nettverksøkt
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte nettverksøktlogger | Alle hendelser normalisert ved inntak til tabellen ASimNetworkSessionLogs . Brannmurkoblingen for Azure monitoragenten bruker denne tabellen. |
_Im_NetworkSession_Native |
|
| AppGate SDP | IP-tilkoblingslogger som samles inn ved hjelp av Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC-logger | Samlet inn ved hjelp av AWS S3-koblingen. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall nettverkslogger. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure flytlogger for nettverkssikkerhetsgrupper. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure overvåke VMConnection | Samlet inn som en del av løsningen Azure Overvåke VM Insights. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Barracuda hendelser samlet inn ved hjelp av CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF hendelser. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Kontrollpunktbrannmur | Kontrollpunktbrannmurhendelser som samles inn ved hjelp av CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Cisco ASA-hendelser samlet inn ved hjelp av CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower-hendelser. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE-hendelser. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-hendelser samlet inn ved hjelp av API-koblingen eller Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-hendelser samlet inn i tabellen Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek-nettverkshendelser. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Vertsarrangementer. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint-brannmur | ForcePoint-brannmurhendelser. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-brannmurhendelser samlet inn ved hjelp av Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-hendelser. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender for IoT (agent) | Microsoft Defender for IoT-mikroagenthendelser. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender for IoT (sensor) | Microsoft Defender for IoT-mikrosensorhendelser. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for nettverkshendelser for endepunkt. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon for Linux | Sysmon for Linux nettverkshendelser (hendelse 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon for Windows (hendelse) | Sysmon for Windows-nettverkshendelser (hendelse 3) samlet inn i Event tabellen. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (WindowsEvent) | Sysmon for Windows-nettverkshendelser (hendelse 3) samlet inn i WindowsEvent tabellen. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-brannmur | Windows-brannmurhendelser (hendelser 5150-5159) samlet inn ved hjelp av Azure Monitor Agent eller Log Analytics Agent. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Brannmur for Microsoft Windows Sikkerhet-hendelser | Windows-brannmurhendelser samlet inn via Security Events-koblingen. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Nettverkstrafikkanalysehendelser. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Palo Alto PanOS trafikklogger samlet inn ved hjelp av CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake hendelser. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne-nettverkshendelser. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall-brannmur | SonicWall-brannmurhendelser. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Vectra AI-nettverkshendelser. Støtter pakkeparameteren. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-nettverkshendelser. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | WatchGuard Fireware OS-hendelser samlet inn ved hjelp av Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Zscaler ZIA-brannmurlogger samlet inn ved hjelp av CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Behandle hendelsesanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Hendelseslogger for normalisert prosess | Alle hendelser normalisert ved inntak til tabellen ASimProcessEventLogs . |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Opprett) | Sysmon for Linux prosessopprettingshendelser (Hendelser 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (Avslutt) | Sysmon for Linux prosessavslutningshendelser (Hendelser 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender for IoT | Microsoft Defender for IoT-prosesshendelser. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR for prosesshendelser for endepunkt. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft-sikkerhetshendelser (opprett) | opprettingshendelser for Windows Sikkerhet-hendelser (hendelser 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsofts sikkerhetshendelser (avslutt) | Windows Sikkerhet Hendelser behandler avslutningshendelser (hendelser 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon for Windows (Opprett) | Sysmon for Windows-prosesshendelser (hendelse 1) samlet inn i tabellene Event . |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon for Windows (Avslutt) | Sysmon for Windows-prosesshendelser (hendelse 5) samlet inn i tabellene Event . |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows-hendelser (opprett) | Windows-prosesshendelser (Hendelse 4688) samlet inn i WindowsEvent tabellen. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows-hendelser (avslutt) | Windows-prosesshendelser (Hendelse 4689) samlet inn i WindowsEvent tabellen. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-prosesshendelser. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One-prosesshendelser. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Opprett) | VMware Carbon Black Cloud-prosessopprettingshendelser. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (Avslutt) | Avslutningshendelser for VMware Carbon Black Cloud-prosessen. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Registerhendelsesanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte registerhendelseslogger | Alle hendelser normalisert ved inntak til tabellen ASimRegistryEventLogs . |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR for registerhendelser for endepunkt. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsofts sikkerhetshendelser | Windows Sikkerhet Hendelser registerhendelser (Hendelser 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon for Windows | Sysmon for Windows-registerhendelser (hendelser 12, 13, 14) samlet til Event tabellene eller WindowsEvent tabellene. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows-hendelser | Windows-registerhendelser som samles inn i WindowsEvent tabellen. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-registerhendelser. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One registerhendelser. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-registerhendelser. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Parsers for brukeradministrasjon
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte brukerbehandlingslogger | Alle hendelser normalisert ved inntak til tabellen ASimUserManagementLogs . |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail-brukeradministrasjonshendelser. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE-brukeradministrasjonshendelser. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux authpriv-brukerbehandlingshendelser. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsofts sikkerhetshendelser | Windows Sikkerhet Hendelser for brukerstyringshendelser. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows-hendelser | Windows-brukerbehandlingshendelser som samles inn i WindowsEvent tabellen. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-brukerbehandlingshendelser. | _Im_UserManagement_SentinelOneVxx |
false |
Nettøktanalyser
| Kilde | Merknader | Parseren | Bruker pakkeparameter |
|---|---|---|---|
| Normaliserte nettøktlogger | Alle hendelser normalisert ved inntak til tabellen ASimWebSessionLogs . |
_Im_WebSession_Native |
|
| Apache HTTP Server | Apache HTTP Server-logger. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall nettøktlogger. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Barracuda hendelser samlet inn ved hjelp av CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF hendelser. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower netthendelser. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki netthendelser. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Netthendelser for Citrix NetScaler. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM-netthendelser. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-nettøktlogger. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | IIS-logger som samles inn ved hjelp av Azure Monitor Agent eller Log Analytics Agent. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Palo Alto PanOS trussellogger samlet inn ved hjelp av CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake hendelser. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall-brannmur | Netthendelser for SonicWall-brannmur. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Blekksprutproxy | Squid Proxy-weblogger. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI-netthendelser. Støtter pakkeparameteren. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Zscaler ZIA-nettlogger samlet inn ved hjelp av CEF. | _Im_WebSession_ZscalerZIAVxx |
Neste trinn
Mer informasjon om ASIM-analyser:
Mer informasjon om ASIM: