이 문서에서는 ASIM(고급 보안 정보 모델) 파서 목록을 제공합니다. ASIM 파서에 대한 개요는 파서 개요를 참조하세요. 파서가 ASIM 아키텍처에 어떻게 적합한지 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.
아래에 Uses pack parameter 값이 없는 파서는 열이 AdditionalFields 채워지지 않습니다.
경고 이벤트 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| Microsoft Defender XDR | 테이블의 경고 이벤트를 AlertEvidence Microsoft Defender XDR. |
_Im_AlertEvent_MicrosoftDefenderXDRVxx |
false |
| SentinelOne 특이성 | SentinelOne 특이성 위협 이벤트(표) SentinelOne_CL . |
_Im_AlertEvent_SentinelOneSingularityVxx |
감사 이벤트 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 감사 이벤트 로그 | 테이블에 수집 ASimAuditEventLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_AuditEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail 감사 이벤트. | _Im_AuditEvent_AWSCloudTrailVxx |
true |
| Azure 활동 | 범주Administrative에서 AzureActivity 활동 이벤트(테이블)를 Azure. |
_Im_AuditEvent_AzureActivityVxx |
false |
| Azure Key Vault | 감사 이벤트를 Azure Key Vault. | _Im_AuditEvent_AzureKeyVaultVxx |
|
| Barracuda CEF | CEF를 사용하여 수집된 Barracuda 이벤트입니다. | _Im_AuditEvent_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF 이벤트. | _Im_AuditEvent_BarracudaWAFVxx |
|
| Cisco ISE | Cisco ISE 이벤트. | _Im_AuditEvent_CiscoISEVxx |
|
| 시스코 메라키 | API 커넥터 또는 Syslog를 사용하여 수집된 Cisco Meraki 이벤트입니다. | _Im_AuditEvent_CiscoMerakiVxx |
|
| 시스코 메라키(시스로그) | Syslog 테이블에 수집된 Cisco Meraki 이벤트입니다. | _Im_AuditEvent_CiscoMerakiSyslogVxx |
|
| 크라우드스트라이크 팔콘 | CrowdStrike Falcon 호스트 이벤트. | _Im_AuditEvent_CrowdStrikeFalconHostVxx |
|
| Illumio SaaS Core | Illumio SaaS Core 이벤트. | _Im_AuditEvent_IllumioSaaSCoreVxx |
|
| Infoblox BloxOne | Infoblox BloxOne 이벤트. | _Im_AuditEvent_InfobloxBloxOneVxx |
false |
| Microsoft Events | 테이블에서 수집된 Event Windows 감사 이벤트 |
_Im_AuditEvent_MicrosoftEventVxx |
|
| Microsoft Exchange 365 | 테이블의 Office 365 커넥터 OfficeActivity 를 사용하여 수집된 Exchange 관리 이벤트입니다. |
_Im_AuditEvent_MicrosoftExchangeAdmin365Vxx |
|
| Microsoft 보안 이벤트 | Windows 이벤트 1102는 Azure Monitor 에이전트를 사용하여 수집됩니다(테이블 사용SecurityEvent). |
_Im_AuditEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft Windows 이벤트 | Windows 이벤트 1102는 Azure Monitor 에이전트를 사용하여 수집됩니다(테이블 사용WindowsEvent). |
_Im_AuditEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne 이벤트. | _Im_AuditEvent_SentinelOneVxx |
false |
| Vectra XDR | Vectra XDR 감사 이벤트. | _Im_AuditEvent_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud 이벤트. | _Im_AuditEvent_VMwareCarbonBlackCloudVxx |
false |
인증 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 인증 로그 | 테이블에 수집 ASimAuthenticationEventLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_Authentication_Native |
|
| AWS CloudTrail | AWS CloudTrail 커넥터를 사용하여 수집된 AWS 로그인. | _Im_Authentication_AWSCloudTrailVxx |
|
| Barracuda WAF | Barracuda WAF 이벤트. | _Im_Authentication_BarracudaWAFVxx |
|
| Cisco ASA | CEF를 사용하여 수집된 Cisco ASA 이벤트입니다. | _Im_Authentication_CiscoASAVxx |
|
| Cisco ISE | Cisco ISE 이벤트. | _Im_Authentication_CiscoISEVxx |
|
| 시스코 메라키 | API 커넥터 또는 Syslog를 사용하여 수집된 Cisco Meraki 이벤트입니다. | _Im_Authentication_CiscoMerakiVxx |
false |
| 시스코 메라키(시스로그) | Syslog 테이블에 수집된 Cisco Meraki 이벤트입니다. | _Im_Authentication_CiscoMerakiSyslogVxx |
false |
| 크라우드스트라이크 팔콘 | CrowdStrike Falcon 호스트 이벤트. | _Im_Authentication_CrowdStrikeFalconHostVxx |
|
| Fortinet Fortigate | Fortinet Fortigate 시스템 관리자 로그. | _Im_Authentication_FortigateVxx |
|
| Google Workspace | Google Workspace 로그인. | _Im_Authentication_GoogleWorkspaceVxx |
false |
| Illumio SaaS Core | Illumio SaaS Core 이벤트. | _Im_Authentication_IllumioSaaSCoreVxx |
|
| IoT용 Microsoft Defender | IoT 인증 이벤트에 대한 Microsoft Defender. | _Im_Authentication_MicrosoftMD4IoTVxx |
|
| Microsoft Defender XDR | Windows 및 Linux 엔드포인트 로그인에 대한 Microsoft Defender XDR. | _Im_Authentication_M365DefenderVxx |
false |
| Microsoft Entra ID | Microsoft Entra ID 로그인은 일반 로그인을 위해 Microsoft Entra 커넥터를 사용하여 수집됩니다. | _Im_Authentication_AADSigninLogsVxx |
|
| Microsoft Entra ID(비간간) | 비대화형 로그인에 Microsoft Entra 커넥터를 사용하여 수집된 Microsoft Entra ID 로그인입니다. | _Im_Authentication_AADNonInteractiveVxx |
|
| Microsoft Entra ID(관리 ID) | Microsoft Entra ID 로그인은 관리 ID 로그인에 대한 Microsoft Entra 커넥터를 사용하여 수집됩니다. | _Im_Authentication_AADManagedIdentityVxx |
|
| Microsoft Entra ID(서비스 주체) | Microsoft Entra ID 로그인은 서비스 주체 로그인에 Microsoft Entra 커넥터를 사용하여 수집됩니다. | _Im_Authentication_AADServicePrincipalSignInLogsVxx |
|
| Microsoft Windows 이벤트 | Windows 로그인(이벤트 4624, 4625, 4634, 4647)은 Azure Monitor 에이전트 또는 Log Analytics 에이전트를 SecurityEvent 사용하여 또는 WindowsEvent 테이블에 수집됩니다. |
_Im_Authentication_MicrosoftWindowsEventVxx |
|
| Okta(V1) | Okta 인증- Okta 커넥터(V1 SSO)를 사용하여 수집됩니다. | _Im_Authentication_OktaOSSVxx |
|
| Okta(V2) | Okta 커넥터(V2)를 사용하여 수집된 Okta 인증입니다. | _Im_Authentication_OktaV2Vxx |
|
| Okta(OktaSystemLogs) | Okta 인증- OktaSystemLogs 테이블에서 를 사용하여 수집됩니다. | _Im_Authentication_OktaSystemLogsVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake 이벤트. | _Im_Authentication_PaloAltoCortexDataLakeVxx |
|
| PostgreSQL | PostgreSQL 로그인 로그. | _Im_Authentication_PostgreSQLVxx |
|
| Salesforce Service Cloud | Salesforce Service Cloud 이벤트. | _Im_Authentication_SalesforceSCVxx |
|
| SentinelOne | SentinelOne 이벤트. | _Im_Authentication_SentinelOneVxx |
|
| Linux Sshd | Syslog를 사용하여 보고된 sshd 작업을 Linux. | _Im_Authentication_SshdVxx |
|
| Linux Su | Linux Syslog를 사용하여 보고된 su 활동입니다. | _Im_Authentication_SuVxx |
|
| Linux 수도 | Linux syslog를 사용하여 보고된 sudo 활동입니다. | _Im_Authentication_SudoVxx |
|
| Vectra XDR | Vectra XDR 감사 이벤트. | _Im_Authentication_VectraXDRAuditVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud 이벤트. | _Im_Authentication_VMwareCarbonBlackCloudVxx |
DHCP 이벤트 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 DHCP 이벤트 로그 | 테이블에 수집 ASimDhcpEventLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_DhcpEvent_Native |
|
| Infoblox BloxOne | Infoblox BloxOne DHCP 이벤트. | _Im_DhcpEvent_InfobloxBloxOneVxx |
false |
DNS 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 DNS 로그 | 테이블에 수집 ASimDnsActivityLogs 할 때 정규화된 모든 이벤트입니다. Azure Monitor 에이전트의 DNS 커넥터는 ASimDnsActivityLogs 테이블을 사용합니다. |
_Im_Dns_Native |
|
| Azure Firewall | DNS 로그를 Azure Firewall. | _Im_Dns_AzureFirewallVxx |
false |
| Cisco Umbrella | Cisco Umbrella DNS 로그. | _Im_Dns_CiscoUmbrellaVxx |
|
| Corelight Zeek | Corelight Zeek DNS 로그. | _Im_Dns_CorelightZeekVxx |
|
| Fortinet FortiGate | Fortinet FortiGate DNS 로그. | _Im_Dns_FortinetFortigateVxx |
|
| GCP DNS | Google Cloud Platform DNS 로그. | _Im_Dns_GcpVxx |
|
| Infoblox BloxOne | Infoblox BloxOne DNS 이벤트. | _Im_Dns_InfobloxBloxOneVxx |
|
| Infoblox NIOS | Infoblox NIOS, BIND 및 BlueCat DNS 서버. 동일한 파서는 여러 원본을 지원합니다. | _Im_Dns_InfobloxNIOSVxx |
|
| Microsoft DNS 서버 | Log Analytics 에이전트(레거시)에 대한 DNS 커넥터를 사용하여 수집됩니다. | _Im_Dns_MicrosoftOMSVxx |
|
| Microsoft DNS 서버(NXlog) | NXlog를 사용하여 수집된 Microsoft DNS 서버입니다. | _Im_Dns_MicrosoftNXlogVxx |
|
| Windows용 Microsoft Sysmon(이벤트) | Azure Monitor 에이전트 또는 Log Analytics 에이전트(레거시)를 사용하여 테이블에 수집된 Sysmon DNS 이벤트(이벤트 22)Event입니다. |
_Im_Dns_MicrosoftSysmonVxx |
|
| Windows용 Microsoft Sysmon(WindowsEvent) | Azure Monitor 에이전트 또는 Log Analytics 에이전트(레거시)를 사용하여 테이블에 수집된 Sysmon DNS 이벤트(이벤트 22)WindowsEvent입니다. |
_Im_Dns_MicrosoftSysmonWindowsEventVxx |
|
| SentinelOne | SentinelOne DNS 이벤트. | _Im_Dns_SentinelOneVxx |
false |
| Vectra AI | Vectra AI DNS 이벤트. | _Im_Dns_VectraAIVxx |
|
| Zscaler ZIA | Zscaler ZIA DNS 로그. | _Im_Dns_ZscalerZIAVxx |
파일 활동 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 파일 이벤트 로그 | 테이블에 수집 ASimFileEventLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_FileEvent_Native |
|
| AWS CloudTrail | AWS CloudTrail 파일 이벤트. | _Im_FileEvent_AWSCloudTrailVxx |
true |
| Azure Blob 저장소 | 파일 이벤트를 Azure Blob Storage. | _Im_FileEvent_AzureBlobStorageVxx |
|
| 파일 스토리지 Azure | 파일 스토리지 이벤트를 Azure. | _Im_FileEvent_AzureFileStorageVxx |
|
| Azure Queue Storage | Queue Storage 이벤트를 Azure. | _Im_FileEvent_AzureQueueStorageVxx |
|
| table Storage Azure | Table Storage 이벤트를 Azure. | _Im_FileEvent_AzureTableStorageVxx |
|
| Google Workspace | Google Workspace 파일 이벤트. | _Im_FileEvent_GoogleWorkspaceVxx |
|
| Linux Sysmon(만든 이벤트) | Linux 파일 생성 이벤트(이벤트 11)에 대한 Sysmon입니다. | _Im_FileEvent_LinuxSysmonFileCreatedVxx |
|
| Linux Sysmon(삭제된 이벤트) | Linux 파일 삭제 이벤트에 대한 Sysmon(이벤트 23, 26). | _Im_FileEvent_LinuxSysmonFileDeletedVxx |
|
| Microsoft Defender XDR | 엔드포인트 파일 이벤트에 대한 Microsoft Defender XDR. | _Im_FileEvent_Microsoft365DVxx |
|
| Microsoft 보안 이벤트 | 보안 이벤트 커넥터를 사용하여 수집된 Windows 파일 이벤트(이벤트 4663) | _Im_FileEvent_MicrosoftSecurityEventsVxx |
|
| Microsoft SharePoint | Office 활동 커넥터를 사용하여 수집된 SharePoint 및 OneDrive 이벤트를 Microsoft Office 365. | _Im_FileEvent_MicrosoftSharePointVxx |
|
| Windows용 Microsoft Sysmon(이벤트) | Windows용 Sysmon 파일 이벤트(이벤트 11, 23, 26)가 테이블에 수집됩니다 Event . |
_Im_FileEvent_MicrosoftSysmonVxx |
|
| Windows용 Microsoft Sysmon(WindowsEvent) | Windows용 Sysmon 파일 이벤트(이벤트 11, 23, 26)가 테이블에 수집됩니다 WindowsEvent . |
_Im_FileEvent_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows 이벤트 | 테이블에 수집된 WindowsEvent Windows 파일 이벤트(이벤트 4663) |
_Im_FileEvent_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne 파일 이벤트. | _Im_FileEvent_SentinelOneVxx |
|
| VMware Carbon Black Cloud | VMware Carbon Black Cloud 파일 이벤트. | _Im_FileEvent_VMwareCarbonBlackCloudVxx |
false |
네트워크 세션 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 네트워크 세션 로그 | 테이블에 수집 ASimNetworkSessionLogs 할 때 정규화된 모든 이벤트입니다. Azure Monitor 에이전트에 대한 방화벽 커넥터는 이 테이블을 사용합니다. |
_Im_NetworkSession_Native |
|
| AppGate SDP | Syslog를 사용하여 수집된 IP 연결 로그입니다. | _Im_NetworkSession_AppGateSDPVxx |
|
| AWS VPC 로그 | AWS S3 커넥터를 사용하여 수집됩니다. | _Im_NetworkSession_AWSVPCVxx |
|
| Azure Firewall | 네트워크 로그를 Azure Firewall. | _Im_NetworkSession_AzureFirewallVxx |
false |
| NSG Azure | 네트워크 보안 그룹 흐름 로그를 Azure. | _Im_NetworkSession_AzureNSGVxx |
|
| VMConnection 모니터링 Azure | Azure Monitor VM Insights 솔루션의 일부로 수집됩니다. | _Im_NetworkSession_VMConnectionVxx |
|
| Barracuda CEF | CEF를 사용하여 수집된 Barracuda 이벤트입니다. | _Im_NetworkSession_BarracudaCEFVxx |
|
| Barracuda WAF | Barracuda WAF 이벤트. | _Im_NetworkSession_BarracudaWAFVxx |
|
| 검사점 방화벽 | CEF를 사용하여 수집된 검사점 방화벽 이벤트입니다. | _Im_NetworkSession_CheckPointFirewallVxx |
false |
| Cisco ASA | CEF를 사용하여 수집된 Cisco ASA 이벤트입니다. | _Im_NetworkSession_CiscoASAVxx |
|
| Cisco Firepower | Cisco Firepower 이벤트. | _Im_NetworkSession_CiscoFirepowerVxx |
false |
| Cisco ISE | Cisco ISE 이벤트. | _Im_NetworkSession_CiscoISEVxx |
|
| 시스코 메라키 | API 커넥터 또는 Syslog를 사용하여 수집된 Cisco Meraki 이벤트입니다. | _Im_NetworkSession_CiscoMerakiVxx |
false |
| 시스코 메라키(시스로그) | Syslog 테이블에 수집된 Cisco Meraki 이벤트입니다. | _Im_NetworkSession_CiscoMerakiSyslogVxx |
false |
| Corelight Zeek | Corelight Zeek 네트워크 이벤트. | _Im_NetworkSession_CorelightZeekVxx |
|
| 크라우드스트라이크 팔콘 | CrowdStrike Falcon 호스트 이벤트. | _Im_NetworkSession_CrowdStrikeFalconHostVxx |
false |
| ForcePoint 방화벽 | ForcePoint 방화벽 이벤트. | _Im_NetworkSession_ForcePointFirewallVxx |
false |
| Fortinet FortiGate | Syslog를 사용하여 수집된 Fortinet FortiGate 방화벽 이벤트입니다. | _Im_NetworkSession_FortinetFortiGateVxx |
|
| Illumio SaaS Core | Illumio SaaS Core 이벤트. | _Im_NetworkSession_IllumioSaaSCoreVxx |
false |
| IoT용 Microsoft Defender(에이전트) | IoT 마이크로 에이전트 이벤트에 대한 Microsoft Defender. | _Im_NetworkSession_MD4IoTAgentVxx |
|
| IoT용 Microsoft Defender(센서) | IoT 마이크로 센서 이벤트에 대한 Microsoft Defender. | _Im_NetworkSession_MD4IoTSensorVxx |
|
| Microsoft Defender XDR | 엔드포인트 네트워크 이벤트에 대한 Microsoft Defender XDR. | _Im_NetworkSession_Microsoft365DefenderVxx |
|
| microsoft Sysmon for Linux | Linux 네트워크 이벤트에 대한 Sysmon(이벤트 3). | _Im_NetworkSession_MicrosoftLinuxSysmonVxx |
|
| Windows용 Microsoft Sysmon(이벤트) | 테이블에 수집된 Event Windows 네트워크 이벤트(이벤트 3)에 대한 Sysmon입니다. |
_Im_NetworkSession_MicrosoftSysmonVxx |
|
| Windows용 Microsoft Sysmon(WindowsEvent) | 테이블에 수집된 WindowsEvent Windows 네트워크 이벤트(이벤트 3)에 대한 Sysmon입니다. |
_Im_NetworkSession_MicrosoftSysmonWindowsEventVxx |
|
| Microsoft Windows 방화벽 | Azure Monitor 에이전트 또는 Log Analytics 에이전트를 사용하여 수집된 Windows 방화벽 이벤트(이벤트 5150-5159). | _Im_NetworkSession_MicrosoftWindowsEventFirewallVxx |
|
| Microsoft Windows 보안 이벤트 방화벽 | 보안 이벤트 커넥터를 통해 수집된 Windows 방화벽 이벤트입니다. | _Im_NetworkSession_MicrosoftSecurityEventFirewallVxx |
|
| NTA NetAnalytics | 네트워크 트래픽 분석 이벤트. | _Im_NetworkSession_NTANetAnalyticsVxx |
false |
| Palo Alto PanOS | CEF를 사용하여 수집된 Palo Alto PanOS 트래픽 로그입니다. | _Im_NetworkSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake 이벤트. | _Im_NetworkSession_PaloAltoCortexDataLakeVxx |
false |
| SentinelOne | SentinelOne 네트워크 이벤트. | _Im_NetworkSession_SentinelOneVxx |
|
| SonicWall 방화벽 | SonicWall 방화벽 이벤트. | _Im_NetworkSession_SonicWallFirewallVxx |
false |
| Vectra AI | Vectra AI 네트워크 이벤트. pack 매개 변수를 지원합니다. | _Im_NetworkSession_VectraAIVxx |
true |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud 네트워크 이벤트. | _Im_NetworkSession_VMwareCarbonBlackCloudVxx |
false |
| WatchGuard Fireware OS | Syslog를 사용하여 수집된 WatchGuard Fireware OS 이벤트입니다. | _Im_NetworkSession_WatchGuardFirewareOSVxx |
|
| Zscaler ZIA | CEF를 사용하여 수집된 Zscaler ZIA 방화벽 로그입니다. | _Im_NetworkSession_ZscalerZIAVxx |
프로세스 이벤트 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 프로세스 이벤트 로그 | 테이블에 수집 ASimProcessEventLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_ProcessEvent_Native |
|
| Linux Sysmon(만들기) | Linux 프로세스 생성 이벤트에 대한 Sysmon(이벤트 1). | _Im_ProcessCreate_LinuxSysmonVxx |
|
| Linux Sysmon(종료) | Linux 프로세스 종료 이벤트에 대한 Sysmon(이벤트 5). | _Im_ProcessTerminate_LinuxSysmonVxx |
|
| IoT용 Microsoft Defender | IoT 프로세스 이벤트에 대한 Microsoft Defender. | _Im_ProcessEvent_MD4IoTVxx |
|
| Microsoft Defender XDR | 엔드포인트 프로세스 이벤트에 대한 Microsoft Defender XDR. | _Im_ProcessEvent_Microsoft365DVxx |
|
| Microsoft 보안 이벤트(만들기) | Windows 보안 이벤트 프로세스 생성 이벤트(이벤트 4688). | _Im_ProcessCreate_MicrosoftSecurityEventsVxx |
|
| Microsoft 보안 이벤트(종료) | Windows 보안 이벤트는 종료 이벤트를 처리합니다(이벤트 4689). | _Im_ProcessTerminate_MicrosoftSecurityEventsVxx |
|
| Windows용 Microsoft Sysmon(만들기) | Windows용 Sysmon 프로세스 이벤트(이벤트 1)가 테이블에 수집됩니다 Event . |
_Im_ProcessCreate_MicrosoftSysmonVxx |
|
| Windows용 Microsoft Sysmon(종료) | 테이블에 수집된 Event Windows 프로세스 이벤트(이벤트 5)에 대한 Sysmon입니다. |
_Im_ProcessTerminate_MicrosoftSysmonVxx |
|
| Microsoft Windows 이벤트(만들기) | 테이블에 수집된 Windows 프로세스 이벤트(이벤트 4688)입니다 WindowsEvent . |
_Im_ProcessCreate_MicrosoftWindowsEventsVxx |
|
| Microsoft Windows 이벤트(종료) | 테이블에 수집된 WindowsEvent Windows 프로세스 이벤트(이벤트 4689) |
_Im_ProcessTerminate_MicrosoftWindowsEventsVxx |
|
| SentinelOne | SentinelOne 프로세스 이벤트. | _Im_ProcessCreate_SentinelOneVxx |
|
| 추세 Micro Vision One | micro Vision One 프로세스 이벤트를 추세. | _Im_ProcessCreate_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud(만들기) | VMware Carbon Black Cloud 프로세스 생성 이벤트 | _Im_ProcessCreate_VMwareCarbonBlackCloudVxx |
false |
| VMware Carbon Black Cloud(Terminate) | VMware Carbon Black Cloud 프로세스 종료 이벤트 | _Im_ProcessTerminate_VMwareCarbonBlackCloudVxx |
false |
레지스트리 이벤트 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 레지스트리 이벤트 로그 | 테이블에 수집 ASimRegistryEventLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_RegistryEvent_Native |
|
| Microsoft Defender XDR | 엔드포인트 레지스트리 이벤트에 대한 Microsoft Defender XDR. | _Im_RegistryEvent_Microsoft365DVxx |
|
| Microsoft 보안 이벤트 | Windows 보안 이벤트 레지스트리 이벤트(이벤트 4657, 4663). | _Im_RegistryEvent_MicrosoftSecurityEventVxx |
|
| Windows용 Microsoft Sysmon | 또는 WindowsEvent 테이블에 수집된 Event Windows 레지스트리 이벤트(이벤트 12, 13, 14)에 대한 Sysmon입니다. |
_Im_RegistryEvent_MicrosoftSysmonVxx |
|
| Microsoft Windows 이벤트 | 테이블에 수집된 WindowsEvent Windows 레지스트리 이벤트입니다. |
_Im_RegistryEvent_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne 레지스트리 이벤트. | _Im_RegistryEvent_SentinelOneVxx |
|
| 추세 Micro Vision One | Micro Vision One 레지스트리 이벤트를 추세. | _Im_RegistryEvent_TrendMicroVisionOneVxx |
false |
| VMware Carbon Black Cloud | VMware Carbon Black Cloud 레지스트리 이벤트. | _Im_RegistryEvent_VMwareCarbonBlackCloudVxx |
false |
사용자 관리 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 사용자 관리 로그 | 테이블에 수집 ASimUserManagementLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_UserManagement_Native |
|
| AWS CloudTrail | AWS CloudTrail 사용자 관리 이벤트. | _Im_UserManagement_AWSCloudTrailVxx |
true |
| Cisco ISE | Cisco ISE 사용자 관리 이벤트. | _Im_UserManagement_CiscoISEVxx |
|
| Linux Authpriv | authpriv 사용자 관리 이벤트를 Linux. | _Im_UserManagement_LinuxAuthprivVxx |
|
| Microsoft 보안 이벤트 | 이벤트 사용자 관리 이벤트를 Windows 보안. | _Im_UserManagement_MicrosoftSecurityEventVxx |
|
| Microsoft Windows 이벤트 | 테이블에 수집된 WindowsEvent Windows 사용자 관리 이벤트입니다. |
_Im_UserManagement_MicrosoftWindowsEventVxx |
|
| SentinelOne | SentinelOne 사용자 관리 이벤트. | _Im_UserManagement_SentinelOneVxx |
false |
웹 세션 파서
| 원본 | 참고 | 파서 | pack 매개 변수 사용 |
|---|---|---|---|
| 정규화된 웹 세션 로그 | 테이블에 수집 ASimWebSessionLogs 할 때 정규화된 모든 이벤트입니다. |
_Im_WebSession_Native |
|
| Apache HTTP 서버 | Apache HTTP 서버 로그. | _Im_WebSession_ApacheHTTPServerVxx |
|
| Azure Firewall | 웹 세션 로그를 Azure Firewall. | _Im_WebSession_AzureFirewallVxx |
false |
| Barracuda CEF | CEF를 사용하여 수집된 Barracuda 이벤트입니다. | _Im_WebSession_BarracudaCEFVxx |
false |
| Barracuda WAF | Barracuda WAF 이벤트. | _Im_WebSession_BarracudaWAFVxx |
false |
| Cisco Firepower | Cisco Firepower 웹 이벤트. | _Im_WebSession_CiscoFirepowerVxx |
false |
| 시스코 메라키 | Cisco Meraki 웹 이벤트. | _Im_WebSession_CiscoMerakiVxx |
|
| Citrix NetScaler | Citrix NetScaler 웹 이벤트. | _Im_WebSession_CitrixNetScalerVxx |
false |
| F5 ASM | F5 ASM 웹 이벤트. | _Im_WebSession_F5ASMVxx |
false |
| Fortinet FortiGate | Fortinet FortiGate 웹 세션 로그. | _Im_WebSession_FortinetFortiGateVxx |
false |
| IIS(인터넷 정보 서비스) | Azure Monitor 에이전트 또는 Log Analytics 에이전트를 사용하여 수집된 IIS 로그입니다. | _Im_WebSession_IISVxx |
|
| Palo Alto PanOS | CEF를 사용하여 수집된 Palo Alto PanOS 위협 로그입니다. | _Im_WebSession_PaloAltoCEFVxx |
|
| Palo Alto Cortex Data Lake | Palo Alto Cortex Data Lake 이벤트. | _Im_WebSession_PaloAltoCortexDataLakeVxx |
false |
| SonicWall 방화벽 | SonicWall 방화벽 웹 이벤트. | _Im_WebSession_SonicWallFirewallVxx |
false |
| 오징어 프록시 | 오징어 프록시 웹 로그. | _Im_WebSession_SquidProxyVxx |
|
| Vectra AI | Vectra AI 웹 이벤트. pack 매개 변수를 지원합니다. | _Im_WebSession_VectraAIVxx |
true |
| Zscaler ZIA | CEF를 사용하여 수집된 Zscaler ZIA 웹 로그입니다. | _Im_WebSession_ZscalerZIAVxx |
다음 단계
ASIM 파서에 대해 자세히 알아보세요.
ASIM에 대해 자세히 알아보세요.