Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här dokumentet innehåller en lista över ASIM-parsare (Advanced Security Information Model). En översikt över ASIM-parsers finns i översikten över parsers. Information om hur parsers passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Parsers som inte har ett värde under Uses pack parameter har AdditionalFields inte kolumnen ifylld.
Aviseringshändelseparsers
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Microsoft Defender XDR | Microsoft Defender XDR aviseringshändelser AlertEvidence (i tabellen). |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne Singularitet | SentinelOne Singularity-hothändelser (i SentinelOne_CL tabellen). |
_Im_AlertEvent_SentinelOneSingularityVxx |
Granska händelseparsers
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade granskningshändelseloggar | Alla händelser normaliserades vid inmatning till tabellen ASimAuditEventLogs . |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-granskningshändelser. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure aktivitet | Azure Aktivitetshändelser (i AzureActivity tabellen) i kategorin Administrative. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | Azure Key Vault granskningshändelser. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | Barracuda-händelser som samlats in med CEF. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-händelser. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE-händelser. | _Im_AuditEvent_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-händelser som samlas in med hjälp av API-anslutningsappen eller Syslog. | _Im_AuditEvent_CiscoMerakiVxx |
|
| Cisco Meraki (Syslog) | Cisco Meraki-händelser som samlats in i tabellen Syslog. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host-evenemang. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-händelser. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne-händelser. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | Windows-granskningshändelser som samlats in i tabellen Event |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | Exchange Administrativa händelser som samlas in med hjälp av Office 365-anslutningsappen OfficeActivity (i tabellen). |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsoft-säkerhetshändelser | Windows Event 1102 samlas in med hjälp av Azure Monitor Agent (med hjälp av tabellernaSecurityEvent). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows-händelser | Windows Event 1102 samlas in med hjälp av Azure Monitor Agent (med hjälp av tabellernaWindowsEvent). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-händelser. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR-granskningshändelser. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-händelser. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
Parsare för autentisering
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade autentiseringsloggar | Alla händelser normaliserades vid inmatning till tabellen ASimAuthenticationEventLogs . |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS-inloggningar samlas in med hjälp av AWS CloudTrail-anslutningsappen. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF-händelser. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | Cisco ASA-händelser som samlas in med HJÄLP av CEF. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE-händelser. | _Im_Authentication_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-händelser som samlas in med hjälp av API-anslutningsappen eller Syslog. | _Im_Authentication_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-händelser som samlats in i tabellen Syslog. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| CrowdStrike Falcon | CrowdStrike Falcon Host-evenemang. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate-systemadministratörsloggar. | _Im_Authentication_FortigateVxx |
|
| Google-arbetsyta | Inloggningar för Google Workspace. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core-händelser. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| Microsoft Defender för IoT | Microsoft Defender för IoT-autentiseringshändelser. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR för slutpunktsinloggningar för Windows och Linux. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID inloggningar som samlas in med hjälp av Microsoft Entra-anslutningsappen för regelbundna inloggningar. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID (icke-interativ) | Microsoft Entra ID inloggningar som samlas in med hjälp av Microsoft Entra-anslutningsappen för icke-interaktiva inloggningar. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID (hanterade identiteter) | Microsoft Entra ID inloggningar som samlas in med hjälp av Microsoft Entra-anslutningsappen för inloggningar med hanterade identiteter. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID (tjänstens huvudnamn) | Microsoft Entra ID inloggningar som samlas in med hjälp av Microsoft Entra-anslutningsappen för inloggningar med tjänstens huvudnamn. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows-händelser | Windows-inloggningar (Händelser 4624, 4625, 4634, 4647) som samlats in med hjälp av Azure Monitor Agent eller Log Analytics-agenten till tabellerna SecurityEvent eller WindowsEvent . |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta (V1) | Okta-autentisering, som samlas in med Okta-anslutningsappen (V1 SSO). | _Im_Authentication_OktaOSSVxx |
|
| Okta (V2) | Okta-autentisering, som samlas in med Okta-anslutningsappen (V2). | _Im_Authentication_OktaV2Vxx |
|
| Okta (OktaSystemLogs) | Okta-autentisering som samlas in med i tabellen OktaSystemLogs. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-händelser. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| Postgresql | Inloggningsloggar för PostgreSQL. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud-händelser. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne-händelser. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Linux sshd-aktivitet som rapporterats med Syslog. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux su-aktivitet som rapporterats med Syslog. | _Im_Authentication_SuVxx |
|
| Linux Sudo | Linux sudo-aktivitet som rapporterats med Syslog. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR-granskningshändelser. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-händelser. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP-händelseparsers
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade DHCP-händelseloggar | Alla händelser normaliserades vid inmatning till tabellen ASimDhcpEventLogs . |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP-händelser. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS-parsare
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade DNS-loggar | Alla händelser normaliserades vid inmatning till tabellen ASimDnsActivityLogs . DNS-anslutningsappen för Azure Monitor Agent använder tabellen ASimDnsActivityLogs . |
_Im_Dns_Native |
|
| Azure Firewall | Azure Firewall DNS-loggar. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Cisco Umbrella DNS-loggar. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Corelight Zeek DNS-loggar. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS-loggar. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | GOOGLE Cloud Platform DNS-loggar. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS-händelser. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS-, BIND- och BlueCat DNS-servrar. Samma parser stöder flera källor. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS-server | Samlas in med HJÄLP av DNS-anslutningsappen för Log Analytics-agenten (äldre). | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS Server (NXlog) | Microsoft DNS-server som samlats in med NXlog. | _Im_Dns_MicrosoftNXlogVxx |
|
| Microsoft Sysmon för Windows (händelse) | Sysmon DNS-händelser (händelse 22) som samlas in med Azure Monitor Agent eller Log Analytics-agenten (äldre) i Event tabellen. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Microsoft Sysmon för Windows (WindowsEvent) | Sysmon DNS-händelser (händelse 22) som samlas in med Azure Monitor Agent eller Log Analytics-agenten (äldre) i WindowsEvent tabellen. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS-händelser. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Vectra AI DNS-händelser. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Zscaler ZIA DNS-loggar. | _Im_Dns_ZscalerZIAVxx |
Filaktivitetsparsers
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade filhändelseloggar | Alla händelser normaliserades vid inmatning till tabellen ASimFileEventLogs . |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail-filhändelser. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob Storage | Azure Blob Storage filhändelser. | _Im_FileEvent_AzureBlobStorageVxx |
|
| Azure File Storage | Azure File Storage-händelser. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure Queue Storage | Azure Queue Storage-händelser. | _Im_FileEvent_AzureQueueStorageVxx |
|
| Azure Table Storage | Azure Table Storage-händelser. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google-arbetsyta | Google Workspace-filhändelser. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon (skapade händelser) | Sysmon för Linux skapade filhändelser (händelser 11). | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon (borttagna händelser) | Sysmon för Linux borttagna filhändelser (händelser 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR för endpoint-filhändelser. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsoft-säkerhetshändelser | Windows-filhändelser (händelse 4663) samlas in med hjälp av anslutningsappen för säkerhetshändelser. | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Microsoft Office 365 SharePoint- och OneDrive-händelser som samlas in med anslutningsappen för Office-aktivitet. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Microsoft Sysmon för Windows (händelse) | Sysmon för Windows-filhändelser (händelser 11, 23, 26) som samlats in i tabellen Event . |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Microsoft Sysmon för Windows (WindowsEvent) | Sysmon för Windows-filhändelser (händelser 11, 23, 26) som samlats in i tabellen WindowsEvent . |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-händelser | Windows-filhändelser (händelse 4663) samlas in i WindowsEvent tabellen. |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne-filhändelser. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-filhändelser. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
Parsare för nätverkssessioner
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade nätverkssessionsloggar | Alla händelser normaliserades vid inmatning till tabellen ASimNetworkSessionLogs . Brandväggsanslutningsappen för Azure Monitor Agent använder den här tabellen. |
_Im_NetworkSession_Native |
|
| AppGate SDP | IP-anslutningsloggar som samlas in med Syslog. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC-loggar | Samlas in med hjälp av AWS S3-anslutningsappen. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | Azure Firewall nätverksloggar. | _Im_NetworkSession_AzureFirewallVxx |
false |
| Azure NSG | Azure flödesloggar för nätverkssäkerhetsgrupper. | _Im_NetworkSession_AzureNSGVxx |
|
| Azure Övervaka VMConnection | Samlas in som en del av Azure Monitor VM Insights-lösningen. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | Barracuda-händelser som samlats in med CEF. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF-händelser. | _Im_NetworkSession_BarracudaWAFVxx |
|
| Brandvägg för kontrollpunkt | Checkpoint Firewall-händelser som samlas in med HJÄLP av CEF. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | Cisco ASA-händelser som samlas in med HJÄLP av CEF. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower-händelser. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE-händelser. | _Im_NetworkSession_CiscoISEVxx |
|
| Cisco Meraki | Cisco Meraki-händelser som samlas in med hjälp av API-anslutningsappen eller Syslog. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| Cisco Meraki (Syslog) | Cisco Meraki-händelser som samlats in i tabellen Syslog. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek-nätverkshändelser. | _Im_NetworkSession_CorelightZeekVxx |
|
| CrowdStrike Falcon | CrowdStrike Falcon Host-evenemang. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint-brandvägg | ForcePoint Firewall-händelser. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-brandväggshändelser som samlats in med Syslog. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core-händelser. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| Microsoft Defender för IoT (agent) | Microsoft Defender för IoT-mikroagenthändelser. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| Microsoft Defender för IoT (sensor) | Microsoft Defender för IoT-mikrosensorhändelser. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR för nätverkshändelser för slutpunkter. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| Microsoft Sysmon för Linux | Sysmon för Linux nätverkshändelser (händelse 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Microsoft Sysmon för Windows (händelse) | Sysmon för Windows-nätverkshändelser (händelse 3) som samlats in i Event tabellen. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Microsoft Sysmon för Windows (WindowsEvent) | Sysmon för Windows-nätverkshändelser (händelse 3) som samlats in i WindowsEvent tabellen. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows-brandväggen | Händelser i Windows-brandväggen (händelser 5150-5159) som samlas in med Azure Monitor-agenten eller Log Analytics-agenten. | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Brandvägg för Microsoft Windows-säkerhet-händelser | Händelser i Windows-brandväggen som samlas in via anslutningsprogrammet för säkerhetshändelser. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | Händelser för nätverkstrafikanalys. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | Palo Alto PanOS-trafikloggar som samlats in med CEF. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-händelser. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne-nätverkshändelser. | _Im_NetworkSession_SentinelOneVxx |
|
| Brandvägg för SonicWall | SonicWall Firewall-händelser. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Vectra AI-nätverkshändelser. Stöder packparametern. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-nätverkshändelser. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | WatchGuard Fireware OS-händelser som samlats in med Syslog. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | Zscaler ZIA-brandväggsloggar som samlats in med CEF. | _Im_NetworkSession_ZscalerZIAVxx |
Bearbeta händelseparsers
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade processhändelseloggar | Alla händelser normaliserades vid inmatning till tabellen ASimProcessEventLogs . |
_Im_ProcessEvent_Native |
|
| Linux Sysmon (Skapa) | Sysmon för Linux processskapandehändelser (händelser 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon (avsluta) | Sysmon för Linux processavslutshändelser (händelser 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| Microsoft Defender för IoT | Microsoft Defender för IoT-processhändelser. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | Microsoft Defender XDR för endpoint-processhändelser. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft-säkerhetshändelser (skapa) | Windows-säkerhet händelser för att skapa händelser (händelser 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsoft-säkerhetshändelser (avsluta) | Windows-säkerhet Händelser processavslutshändelser (händelser 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Microsoft Sysmon för Windows (Skapa) | Sysmon för Windows-processhändelser (händelse 1) som samlats in i tabellerna Event . |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Microsoft Sysmon för Windows (avsluta) | Sysmon för Windows-processhändelser (händelse 5) som samlats in i tabellerna Event . |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows-händelser (skapa) | Windows-processhändelser (händelse 4688) samlas in i tabellen WindowsEvent . |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows-händelser (avsluta) | Windows-processhändelser (händelse 4689) samlas in i tabellen WindowsEvent . |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelEn processhändelser. | _Im_ProcessCreate_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One processhändelser. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud (Skapa) | Processskapandehändelser för VMware Carbon Black Cloud. | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud (avsluta) | VMware Carbon Black Cloud-processavslutshändelser. | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
Parsers för registerhändelse
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade registerhändelseloggar | Alla händelser normaliserades vid inmatning till tabellen ASimRegistryEventLogs . |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | Microsoft Defender XDR för endpoint-registerhändelser. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsoft-säkerhetshändelser | Windows-säkerhet Händelser registerhändelser (händelser 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Microsoft Sysmon för Windows | Sysmon för Windows-registerhändelser (händelser 12, 13, 14) som samlats in i tabellerna Event eller WindowsEvent . |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows-händelser | Windows-registerhändelser som samlats in i WindowsEvent tabellen. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne-registerhändelser. | _Im_RegistryEvent_SentinelOneVxx |
|
| Trend Micro Vision One | Trend Micro Vision One-registerhändelser. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud-registerhändelser. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
Parser för användarhantering
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade användarhanteringsloggar | Alla händelser normaliserades vid inmatning till tabellen ASimUserManagementLogs . |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail-användarhanteringshändelser. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE-användarhanteringshändelser. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | Linux användarhanteringshändelser för authpriv. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsoft-säkerhetshändelser | Windows-säkerhet Händelser användarhanteringshändelser. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows-händelser | Windows-användarhanteringshändelser som samlats in i WindowsEvent tabellen. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelEn användarhanteringshändelser. | _Im_UserManagement_SentinelOneVxx |
false |
Parsare för webbsessioner
| Source | Kommentarer | Parser | Använder packparameter |
|---|---|---|---|
| Normaliserade webbsessionsloggar | Alla händelser normaliserades vid inmatning till tabellen ASimWebSessionLogs . |
_Im_WebSession_Native |
|
| Apache HTTP Server | Apache HTTP Server-loggar. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | Azure Firewall webbsessionsloggar. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | Barracuda-händelser som samlats in med CEF. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF-händelser. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower-webbhändelser. | _Im_WebSession_CiscoFirepowerVxx |
false |
| Cisco Meraki | Cisco Meraki-webbhändelser. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Citrix NetScaler-webbhändelser. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM-webbhändelser. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate-webbsessionsloggar. | _Im_WebSession_FortinetFortiGateVxx |
false |
| Internet Information Services (IIS) | IIS-loggar som samlas in med hjälp av Azure Monitor Agent eller Log Analytics Agent. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | Palo Alto PanOS-hotloggar som samlats in med CEF. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake-händelser. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| Brandvägg för SonicWall | SonicWall Firewall-webbhändelser. | _Im_WebSession_SonicWallFirewallVxx |
false |
| Bläckfiskproxy | Webbloggar för bläckfiskproxy. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI-webbhändelser. Stöder packparametern. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | Zscaler ZIA-webbloggar som samlats in med HJÄLP av CEF. | _Im_WebSession_ZscalerZIAVxx |
Nästa steg
Läs mer om ASIM-parsers:
Läs mer om ASIM: