Novas adições à normalização do Microsoft Sentinel: ASIM expande cobertura para AWS, Azure Firewall e mais
TL;DR: O Advanced Security Information Model (ASIM) do Microsoft Sentinel ganhou novos parsers para Azure Firewall, Key Vault, AWS CloudTrail (EC2, S3, IAM) e mais de 10 fontes terceiras, além de dois novos schemas (Asset Entities e AI Agent Events). A atualização simplifica a correlação de logs multi-cloud e ambientes híbridos, mas exige atenção: o parâmetro targetusername nos parsers ProcessEvent será descontinuado no verão de 2026. Para equipes de segurança brasileiras, é uma oportunidade de reduzir a complexidade de detecção e unificar telemetrias de Azure e AWS sem reescrever regras.
O que muda com os novos parsers ASIM?
Times de segurança lidam com logs de dezenas de fontes, cada uma com seu schema próprio. Esse é um dos maiores pontos de dor para escrever detecções que funcionem em qualquer ambiente. O Advanced Security Information Model (ASIM) resolve isso ao normalizar logs em um schema comum: uma única regra analítica pode cobrir diversas fontes sem se preocupar com o schema original.
Nos últimos meses, a Microsoft lançou uma nova leva de parsers, schemas e melhorias no ASIM. Vamos aos principais destaques.
Azure Firewall
Antes, os logs do Azure Firewall só eram suportados pela tabela AzureDiagnostics. Agora, passam a ter suporte dedicado em tabelas específicas por recurso:
| Tablea | ASIM Schema |
|---|---|
| AZFWDnsQuery | DNS |
| AZFWNetworkRule | NetworkSession |
| AZFWApplicationRule | WebSession |
Azure Key Vault
Logs que vão tanto para AzureDiagnostics quanto para a tabela específica AZKVAuditLogs agora são normalizados no schema Audit Event.
Azure Synapse SQL e Azure SQL Database
Da mesma forma, logs destinados a AzureDiagnostics e SQLSecurityAuditEvents são normalizados para Audit Event.
Azure Traffic Analytics
Suporte adicionado para a tabela NTANetAnalytics sob o schema Network Session.
AWS CloudTrail
AWS CloudTrail anteriormente mapeava apenas para o schema Authentication. Agora é possível correlacionar atividade de EC2, S3 e IAM via ASIM lado a lado com telemetria Azure:
- AuditEvent — Eventos EC2 normalizados
- FileEvent — Eventos S3 normalizados
- UserManagement — Eventos IAM e Cognito normalizados
Suporte adicional a fontes terceiras
Authentication — Normaliza eventos de sign-in e identidade para detecção cross-source:
- CheckPoint Smart Defense
- Cisco IOS
- Cisco ISE
- Fortinet FortiGate
- Okta (OktaSystemLogs)
- Palo Alto — PAN-OS
- Palo Alto — Global Protect
- VMware vCenter
Web Session — Normaliza tráfego de proxy e web gateway:
- Cisco Umbrella Proxy Logs
Como os novos schemas expandem os casos de uso?
Foram criados dois novos schemas:
- Asset Entities — Oferece uma visão normalizada de inventário de ativos, permitindo correlacionar arquivos e ativos entre detecções e investigações.
- AI Agent Events — Normaliza telemetria de workflows orientados por IA e agentes autônomos.
Em um cenário brasileiro de adoção crescente de IA e automação, o schema AI Agent Events prepara o SOC para monitorar incidentes envolvendo agentes inteligentes, algo ainda pouco coberto por SIEMs tradicionais.
O que mais mudou?
Changelogs no GitHub — Cada parser ASIM agora tem seu próprio changelog, facilitando o acompanhamento de atualizações e correções. Exemplo: Changelog do parser Authentication.
Breaking changes nos parsers ProcessEvent — Durante o alinhamento com a documentação oficial, foi identificada uma inconsistência de nomenclatura na função _Im_ProcessCreate:
- Documentação especifica o parâmetro como
targetusername_has - Parsers em produção usavam
targetusername
O que foi alterado: Ambos os nomes de parâmetro agora são aceitos.
O que você precisa fazer: Atualizar suas regras analíticas e queries para usar targetusername_has. O parâmetro legado targetusername será descontinuado no verão de 2026.
O que vem a seguir?
A Microsoft continua expandindo o ASIM com novos parsers e capacidades de schema para tornar a autoria de detecções e a correlação de logs ainda mais poderosas.
A BlueVoyant também está investindo pesadamente no ecossistema ASIM, construindo parsers que ampliam a cobertura de detecção para seus clientes. Veja como eles usam o ASIM para operacionalizar detecções.
Quer contribuir? Navegue pelos parsers ASIM no GitHub, abra issues ou contribua com seus próprios parsers.
Perguntas Frequentes
-
O que muda com os novos parsers ASIM para Azure Firewall?
Anteriormente, os logs do Azure Firewall só eram suportados pela tabelaAzureDiagnostics. Agora, os parsers ASIM também cobrem as tabelas específicas por recurso (AZFWDnsQuery, AZFWNetworkRule, AZFWApplicationRule), permitindo consultas mais eficientes e com menor latência no Sentinel. -
Como os novos schemas Asset Entities e AI Agent Events ajudam na prática?
O schema Asset Entities oferece uma visão normalizada de inventário de ativos, facilitando a correlação entre arquivos e ativos em investigações. Já o AI Agent Events normaliza telemetria de agentes autônomos e workflows baseados em IA, preparando o SOC para monitorar incidentes envolvendo inteligência artificial. -
Qual é a principal mudança crítica (breaking change) anunciada?
O parâmetrotargetusernamenos parsers_Im_ProcessCreatefoi renomeado paratargetusername_has. Ambos são aceitos temporariamente, mas o nome antigo será removido no verão de 2026. É necessário atualizar regras analíticas e queries para usartargetusername_hasantes da depreciação. -
Os novos parsers ASIM já cobrem integração com ambientes AWS?
Sim. AWS CloudTrail, que antes só mapeava para o schema Authentication, agora cobre EC2 (AuditEvent), S3 (FileEvent) e IAM/Cognito (UserManagement). Isso permite correlacionar atividades AWS com telemetrias Azure dentro de uma única regra analítica no Sentinel.
Artigo originalmente publicado por derricklee em Azure Updates - Latest from Azure Charts.
