Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit document bevat een lijst met ASIM-parsers (Advanced Security Information Model). Raadpleeg het overzicht van de parsers voor een overzicht van ASIM-parsers. Raadpleeg het ASIM-architectuurdiagram om te begrijpen hoe parsers binnen de ASIM-architectuur passen.
Bij parsers waarvoor geen waarde onder Uses pack parameter staat, wordt de AdditionalFields kolom niet ingevuld.
Parsers voor waarschuwingsevenementen
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR waarschuwingsevenementen (in de AlertEvidence tabel). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularity | SentinelOne Singularity-bedreigingsevenementen (in de SentinelOne_CL tabel). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Gebeurtenisparseer controleren
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde auditgebeurtenislogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimAuditEventLogs tabel. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-auditgebeurtenissen. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure-activiteit | Azure Activiteitsevenementen (in de AzureActivity tabel) in de categorie Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault controlegebeurtenissen. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Barracuda-gebeurtenissen die zijn verzameld met behulp van CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-gebeurtenissen. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE-gebeurtenissen. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-gebeurtenissen die zijn verzameld met behulp van de API-connector of Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Cisco Meraki-gebeurtenissen die zijn verzameld in de tabel Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host-evenementen. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-gebeurtenissen. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne-gebeurtenissen. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | Windows-controlegebeurtenissen die in de Event tabel zijn verzameld |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Exchange-beheer-gebeurtenissen die zijn verzameld met behulp van de Office 365-connector (in de OfficeActivity tabel). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsoft-beveiligingsevenementen | Windows-gebeurtenis 1102 verzameld met behulp van Azure Monitor Agent (met behulp van de SecurityEvent tabellen). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows-gebeurtenissen | Windows-gebeurtenis 1102 verzameld met behulp van Azure Monitor Agent (met behulp van de WindowsEvent tabellen). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-gebeurtenissen. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR-controlegebeurtenissen. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-gebeurtenissen. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Verificatieparser
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde verificatielogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimAuthenticationEventLogs tabel. |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS-aanmeldingen, verzameld met behulp van de AWS CloudTrail-connector. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF-gebeurtenissen. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Cisco ASA-gebeurtenissen die zijn verzameld met cef. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE-gebeurtenissen. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-gebeurtenissen die zijn verzameld met behulp van de API-connector of Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-gebeurtenissen die zijn verzameld in de tabel Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Host-evenementen. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate-systeembeheerderslogboeken. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Aanmeldingen bij Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core-gebeurtenissen. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender voor IoT | Microsoft Defender voor IoT-verificatie-gebeurtenissen. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR voor eindpunt-aanmeldingen voor Windows en Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID aanmeldingen, verzameld met behulp van de Microsoft Entra-connector voor reguliere aanmeldingen. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (niet-interatief) | Microsoft Entra ID aanmeldingen, verzameld met behulp van de Microsoft Entra-connector voor niet-interactieve aanmeldingen. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (beheerde identiteiten) | Microsoft Entra ID aanmeldingen, verzameld met behulp van de Microsoft Entra-connector voor aanmeldingen met beheerde identiteiten. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (service-principal) | Microsoft Entra ID aanmeldingen, verzameld met behulp van de Microsoft Entra-connector voor service-principal-aanmeldingen. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows-gebeurtenissen | Windows-aanmeldingen (gebeurtenissen 4624, 4625, 4634, 4647) die zijn verzameld met behulp van Azure Monitor Agent of de Log Analytics-agent naar de SecurityEvent tabellen ofWindowsEvent. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Okta-verificatie, verzameld met behulp van de Okta-connector (V1 SSO). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Okta-verificatie, verzameld met de Okta-connector (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Okta-verificatie, verzameld met behulp van de tabel OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-gebeurtenissen. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| Postgresql | PostgreSQL-aanmeldingslogboeken. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud-gebeurtenissen. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne-gebeurtenissen. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux sshd-activiteit gerapporteerd met behulp van Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux su-activiteit gerapporteerd met behulp van Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux sudo-activiteit gerapporteerd met behulp van Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR-controlegebeurtenissen. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-gebeurtenissen. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP-gebeurtenisparsers
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde DHCP-gebeurtenislogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimDhcpEventLogs tabel. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP-gebeurtenissen. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS-parsers
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde DNS-logboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimDnsActivityLogs tabel. De DNS-connector voor de Azure Monitor-agent gebruikt de ASimDnsActivityLogs tabel. |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall DNS-logboeken. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Cisco Umbrella DNS-logboeken. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Corelight Zeek DNS-logboeken. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS-logboeken. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | DNS-logboeken van Google Cloud Platform. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS-gebeurtenissen. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS-, BIND- en BlueCat DNS-servers. Dezelfde parser ondersteunt meerdere bronnen. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS Server | Verzameld met behulp van de DNS-connector voor de Log Analytics-agent (verouderd). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS Server verzameld met behulp van NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon voor Windows (gebeurtenis) | Sysmon DNS-gebeurtenissen (gebeurtenis 22) die zijn verzameld met behulp van Azure Monitor Agent of de Log Analytics-agent (verouderd) naar de Event tabel. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon voor Windows (WindowsEvent) | Sysmon DNS-gebeurtenissen (gebeurtenis 22) die zijn verzameld met behulp van Azure Monitor Agent of de Log Analytics-agent (verouderd) naar de WindowsEvent tabel. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS-gebeurtenissen. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | DNS-gebeurtenissen van Vectra AI. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Zscaler ZIA DNS-logboeken. | _Im_Dns_ZscalerZIAVxx |
Parsers voor bestandsactiviteit
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde bestandsgebeurtenislogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimFileEventLogs tabel. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-bestandsevenementen. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage bestandsevenementen. | _Im_FileEvent_AzureBlobStorageVxx |
|
| bestandsopslag Azure | Azure File Storage-gebeurtenissen. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure Queue Storage | Azure Queue Storage-gebeurtenissen. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure Table Storage-gebeurtenissen. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Google Workspace-bestandsevenementen. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (gemaakte gebeurtenissen) | Sysmon voor Linux gemaakte gebeurtenissen (gebeurtenissen 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (verwijderde gebeurtenissen) | Sysmon voor Linux verwijderde gebeurtenissen (gebeurtenissen 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR voor eindpuntbestandsevenementen. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsoft-beveiligingsevenementen | Windows-bestandsevenementen (gebeurtenis 4663) die zijn verzameld met behulp van de connector voor beveiligingsevenementen. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 SharePoint- en OneDrive-gebeurtenissen, verzameld met behulp van de Office-activiteitsconnector. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon voor Windows (gebeurtenis) | Sysmon voor Windows-bestandsevenementen (gebeurtenissen 11, 23, 26) verzameld in de Event tabel. |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon voor Windows (WindowsEvent) | Sysmon voor Windows-bestandsevenementen (gebeurtenissen 11, 23, 26) verzameld in de WindowsEvent tabel. |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-gebeurtenissen | Windows-bestandsevenementen (gebeurtenis 4663) verzameld in de WindowsEvent tabel. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-bestandsevenementen. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-bestandsevenementen. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Parsers voor netwerksessies
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde netwerksessielogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimNetworkSessionLogs tabel. De firewallconnector voor de Azure Monitor-agent gebruikt deze tabel. |
_Im_NetworkSession_Native |
|
| AppGate SDP | IP-verbindingslogboeken die worden verzameld met Behulp van Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC-logboeken | Verzameld met behulp van de AWS S3-connector. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall netwerklogboeken. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure stroomlogboeken van netwerkbeveiligingsgroepen. | _Im_NetworkSession_AzureNSGVxx |
|
| VM-verbinding Azure bewaken | Verzameld als onderdeel van de oplossing Azure VM Insights bewaken. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Barracuda-gebeurtenissen die zijn verzameld met behulp van CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-gebeurtenissen. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Controlepuntfirewall | Firewall-gebeurtenissen van het controlepunt die zijn verzameld met cef. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Cisco ASA-gebeurtenissen die zijn verzameld met cef. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower-gebeurtenissen. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE-gebeurtenissen. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-gebeurtenissen die zijn verzameld met behulp van de API-connector of Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-gebeurtenissen die zijn verzameld in de tabel Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek-netwerkgebeurtenissen. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host-evenementen. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint Firewall | ForcePoint Firewall-gebeurtenissen. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-firewall-gebeurtenissen die zijn verzameld met behulp van Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-gebeurtenissen. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender voor IoT (agent) | Microsoft Defender voor ioT-microagent-gebeurtenissen. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender voor IoT (sensor) | Microsoft Defender voor ioT-microsensor-gebeurtenissen. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR voor eindpuntnetwerk gebeurtenissen. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon voor Linux | Sysmon voor Linux netwerk gebeurtenissen (gebeurtenis 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon voor Windows (gebeurtenis) | Sysmon voor Windows-netwerk gebeurtenissen (gebeurtenis 3) verzameld in de Event tabel. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon voor Windows (WindowsEvent) | Sysmon voor Windows-netwerk gebeurtenissen (gebeurtenis 3) verzameld in de WindowsEvent tabel. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows Firewall | Windows Firewall-gebeurtenissen (gebeurtenissen 5150-5159) die worden verzameld met behulp van Azure Monitor-agent of de Log Analytics-agent. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Microsoft Windows-beveiliging Events Firewall | Windows Firewall-gebeurtenissen die worden verzameld via de connector voor beveiligingsevenementen. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Network Traffic Analytics-gebeurtenissen. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Palo Alto PanOS-verkeerslogboeken die worden verzameld met cef. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-gebeurtenissen. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne-netwerk gebeurtenissen. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall Firewall | SonicWall Firewall-gebeurtenissen. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Vectra AI-netwerk gebeurtenissen. Ondersteunt de packparameter. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-netwerk gebeurtenissen. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | WatchGuard Fireware OS-gebeurtenissen verzameld met behulp van Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Zscaler ZIA-firewalllogboeken die zijn verzameld met cef. | _Im_NetworkSession_ZscalerZIAVxx |
Gebeurtenisparseer verwerken
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde procesgebeurtenislogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimProcessEventLogs tabel. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (maken) | Sysmon voor Linux gebeurtenissen voor het maken van processen (gebeurtenissen 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (beëindigen) | Sysmon voor Linux procesbeëindigingsevenementen (gebeurtenissen 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender voor IoT | Microsoft Defender voor IoT-proces gebeurtenissen. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR voor eindpuntproces gebeurtenissen. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft-beveiligingsevenementen (maken) | Windows-beveiliging gebeurtenissen voor het maken van gebeurtenissen (gebeurtenissen 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsoft-beveiligingsevenementen (beëindigen) | Windows-beveiliging Gebeurtenissen proces beëindiging gebeurtenissen (gebeurtenissen 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon voor Windows (maken) | Sysmon voor Windows-proces gebeurtenissen (gebeurtenis 1) verzameld naar de Event tabellen. |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon voor Windows (beëindigen) | Sysmon voor Windows-proces gebeurtenissen (gebeurtenis 5) verzameld naar de Event tabellen. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows-gebeurtenissen (maken) | Windows-proces gebeurtenissen (gebeurtenis 4688) verzameld naar de WindowsEvent tabel. |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows-gebeurtenissen (beëindigen) | Windows-proces gebeurtenissen (gebeurtenis 4689) verzameld naar de WindowsEvent tabel. |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-proces gebeurtenissen. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One proces gebeurtenissen. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (maken) | Gebeurtenissen voor het maken van VMware Carbon Black Cloud-processen. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (beëindigen) | VMware Carbon Black Cloud-procesbeëindigingsevenementen. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Register gebeurtenis parsers
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde registergebeurtenislogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimRegistryEventLogs tabel. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR voor eindpuntregister-gebeurtenissen. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsoft-beveiligingsevenementen | Windows-beveiliging Gebeurtenissen register gebeurtenissen (gebeurtenissen 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon voor Windows | Sysmon voor Windows-register gebeurtenissen (gebeurtenissen 12, 13, 14) verzameld naar de Event tabellen of WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows-gebeurtenissen | Windows-register gebeurtenissen verzameld in de WindowsEvent tabel. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-register gebeurtenissen. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One-register gebeurtenissen. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-register gebeurtenissen. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Parsers voor gebruikersbeheer
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde gebruikersbeheerlogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimUserManagementLogs tabel. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail-gebeurtenissen voor gebruikersbeheer. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE-gebruikersbeheer gebeurtenissen. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux gebeurtenissen voor authpriv-gebruikersbeheer. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsoft-beveiligingsevenementen | Windows-beveiliging gebeurtenissen voor gebruikersbeheer. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows-gebeurtenissen | Windows-gebruikersbeheer gebeurtenissen verzameld in de WindowsEvent tabel. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-gebeurtenissen voor gebruikersbeheer. | _Im_UserManagement_SentinelOneVxx |
false |
Websessieparser
| Source | Opmerkingen | Parser | Gebruikt pakketparameter |
|---|---|---|---|
| Genormaliseerde websessielogboeken | Elke gebeurtenis die is genormaliseerd bij opname in de ASimWebSessionLogs tabel. |
_Im_WebSession_Native |
|
| Apache HTTP Server | Apache HTTP Server-logboeken. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall websessielogboeken. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Barracuda-gebeurtenissen die zijn verzameld met behulp van CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF-gebeurtenissen. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower-webevenementen. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki-webevenementen. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Citrix NetScaler-webevenementen. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM-webevenementen. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-websessielogboeken. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | IIS-logboeken die worden verzameld met Azure Monitor Agent of Log Analytics-agent. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Palo Alto PanOS-bedreigingslogboeken die worden verzameld met behulp van CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-gebeurtenissen. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall Firewall | SonicWall Firewall-webgebeurtenissen. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Inktvisproxy | Weblogboeken van Squid Proxy. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI-webevenementen. Ondersteunt de packparameter. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Zscaler ZIA-weblogboeken die worden verzameld met cef. | _Im_WebSession_ZscalerZIAVxx |
Volgende stappen
Meer informatie over ASIM-parsers:
Meer informatie over ASIM: