Microsoft Defender for Identity-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Microsoft Defender for Identity-Logs mithilfe von Azure Storage in Google Security Operations aufnehmen. Der Parser verarbeitet JSON-Logs oder CEF-formatierte Logs, wenn das JSON-Parsing fehlschlägt. Es werden Felder extrahiert, Datentransformationen wie String-Konvertierungen, Umbenennungen und Zusammenführungen durchgeführt und die Daten werden dem einheitlichen Datenmodell (Unified Data Model, UDM) zugeordnet. Dabei werden verschiedene Logformate verarbeitet und die Daten werden mit zusätzlichem Kontext wie Labels und Authentifizierungsdetails angereichert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • aktiver Azure-Mandant
  • Privilegierter Zugriff auf Azure und administrative Sicherheitsrolle

Azure Storage-Konto konfigurieren

  1. Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).
  2. Klicken Sie auf Erstellen.
  3. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Region: Wählen Sie die Region aus.
    • Leistung: Wählen Sie den Leistungstyp aus (Standard wird empfohlen).
    • Redundanz: Wählen Sie den Redundanztyp aus (GRS oder LRS empfohlen).
    • Storage-Kontoname: Geben Sie einen Namen für das neue Storage-Konto ein.
  4. Klicken Sie auf Überprüfen + Erstellen.
  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  6. Wählen Sie auf der Seite Übersicht des Speicherkontos im Untermenü Sicherheit + Netzwerk die Option Zugriffsschlüssel aus.
  7. Klicken Sie neben key1 oder key2 auf Anzeigen.
  8. Klicken Sie auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
  9. Bewahren Sie den Schlüssel an einem sicheren Ort auf, damit Sie später darauf zugreifen können.
  10. Wählen Sie auf der Seite Übersicht des Speicherkontos im Untermenü Einstellungen die Option Endpunkte aus.
  11. Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren. (Zum Beispiel https://<storageaccountname>.blob.core.windows.net).
  12. Speichern Sie die Endpunkt-URL an einem sicheren Ort, damit Sie später darauf zugreifen können.
  13. Rufen Sie die Übersicht > JSON-Ansicht auf.
  14. Kopieren und speichern Sie die Ressourcen-ID für Storage.

Logexport für Microsoft Defender for Identity konfigurieren

  1. Melden Sie sich mit einem privilegierten Konto im Defender-Portal an.
  2. Gehen Sie zu Einstellungen.
  3. Wählen Sie den Tab Microsoft Defender XDR aus.
  4. Wählen Sie im allgemeinen Bereich Streaming API aus und klicken Sie auf Hinzufügen.
  5. Wählen Sie Ereignisse an Azure Storage weiterleiten aus.
  6. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen eindeutigen und aussagekräftigen Namen ein.
    • Wählen Sie Ereignisse an Azure Storage weiterleiten aus.
    • Storage Account Resource ID (Ressourcen-ID des Speicherkontos): Geben Sie die zuvor kopierte Azure Storage-Ressourcen-ID ein.
    • Ereignistypen: Wählen Sie sowohl Benachrichtigungen und Verhaltensweisen als auch Geräte aus.
  7. Klicken Sie auf Senden.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Defender Identity Logs (Defender-Identitätslogs).
  5. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  6. Wählen Sie Microsoft Defender for Identity als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: die Blob-Endpunkt-URL.

      ENDPOINT_URL/BLOB_NAME

      Ersetzen Sie Folgendes:

      • ENDPOINT_URL: Die Blob-Endpunkt-URL. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: der Name des Blobs. (z. B. insights-logs-<logname>)

    • URI ist ein: Wählen Sie entsprechend der Logstream-Konfiguration aus („Einzelne Datei“, „Verzeichnis“ oder „Verzeichnis mit Unterverzeichnissen“).

    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

    • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Azure-URI: die Blob-Endpunkt-URL.

    ENDPOINT_URL/BLOB_NAME

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: Die Blob-Endpunkt-URL. (https://<storageaccountname>.blob.core.windows.net)
    • BLOB_NAME: der Name des Blobs. (z. B. insights-logs-<logname>)
    • URI ist ein: Wählen Sie entsprechend der Logstream-Konfiguration aus („Einzelne Datei“, „Verzeichnis“ oder „Verzeichnis mit Unterverzeichnissen“).
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

  • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
category metadata.log_type Das Rohlogfeld category wird metadata.log_type zugeordnet.
properties.AccountDisplayName Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AccountName Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AccountUpn Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.ActionType metadata.product_event_type Das Rohlogfeld properties.ActionType wird metadata.product_event_type zugeordnet.
properties.AdditionalFields.ACTOR.ACCOUNT Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.ACTOR.DEVICE principal.asset.asset_id Der Parser extrahiert den Wert von properties.AdditionalFields.ACTOR.DEVICE und stellt ASSET ID: voran.
properties.AdditionalFields.ACTOR.ENTITY_USER Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.Count Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.DestinationComputerDnsName Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.DestinationComputerObjectGuid target.asset.product_object_id Das erste Element des Arrays properties.AdditionalFields.DestinationComputerObjectGuid wird target.asset.product_object_id zugeordnet. Nachfolgende Elemente werden additional.fields mit Schlüsseln wie DestinationComputerObjectGuid_1, DestinationComputerObjectGuid_2 usw. zugeordnet.
properties.AdditionalFields.DestinationComputerOperatingSystem target.asset.platform_software.platform_version Das erste Element des Arrays properties.AdditionalFields.DestinationComputerOperatingSystem wird target.asset.platform_software.platform_version zugeordnet. Nachfolgende Elemente werden additional.fields mit Schlüsseln wie DestinationComputerOperatingSystem_1, DestinationComputerOperatingSystem_2 usw. zugeordnet.
properties.AdditionalFields.DestinationComputerOperatingSystemType target.asset.platform_software.platform Wenn der Wert windows ist, wird das UDM-Feld auf WINDOWS gesetzt.
properties.AdditionalFields.DestinationComputerOperatingSystemVersion target.platform_version Das erste Element des Arrays properties.AdditionalFields.DestinationComputerOperatingSystemVersion wird target.platform_version zugeordnet. Nachfolgende Elemente werden additional.fields mit Schlüsseln wie DestinationComputerOperatingSystemVersion1, DestinationComputerOperatingSystemVersion2 usw. zugeordnet.
properties.AdditionalFields.FROM.DEVICE principal.asset.asset_id Der Parser extrahiert den Wert von properties.AdditionalFields.FROM.DEVICE und stellt ASSET ID: voran.
properties.AdditionalFields.KerberosDelegationType Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.SourceAccountId Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.SourceAccountSid Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.SourceComputerObjectGuid principal.asset.product_object_id Das Rohlogfeld properties.AdditionalFields.SourceComputerObjectGuid wird principal.asset.product_object_id zugeordnet.
properties.AdditionalFields.SourceComputerOperatingSystem principal.asset.platform_software.platform_version Das Rohlogfeld properties.AdditionalFields.SourceComputerOperatingSystem wird principal.asset.platform_software.platform_version zugeordnet.
properties.AdditionalFields.SourceComputerOperatingSystemType principal.asset.platform_software.platform_version Wenn der Wert windows ist, wird das UDM-Feld auf WINDOWS gesetzt.
properties.AdditionalFields.SourceComputerOperatingSystemVersion Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.Spns Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.AdditionalFields.TARGET_OBJECT.USER target.user.userid Das erste Element des Arrays properties.AdditionalFields.TARGET_OBJECT.USER wird target.user.userid zugeordnet. Nachfolgende Elemente werden additional.fields mit Schlüsseln wie TARGET_OBJECT.USER_1, TARGET_OBJECT.USER_2 usw. zugeordnet.
properties.AdditionalFields.TO.DEVICE target.asset.asset_id Das erste Element des Arrays properties.AdditionalFields.TO.DEVICE wird target.asset.asset_id zugeordnet, wobei ASSET ID: vorangestellt wird. Nachfolgende Elemente werden additional.fields mit Schlüsseln wie TODEVICE1, TODEVICE2 usw. zugeordnet.
properties.AuthenticationDetails extensions.auth.auth_details Der Parser entfernt geschweifte Klammern, eckige Klammern und doppelte Anführungszeichen aus dem Wert und stellt AuthenticationDetails: voran.
properties.DeliveryAction additional.fields Mit dem Schlüssel DeliveryAction zugeordnet.
properties.DeliveryLocation additional.fields Mit dem Schlüssel DeliveryLocation zugeordnet.
properties.DestinationDeviceName target.hostname, target.asset.hostname Das Rohlogfeld properties.DestinationDeviceName wird sowohl target.hostname als auch target.asset.hostname zugeordnet.
properties.DestinationIPAddress target.ip, target.asset.ip Das Rohlogfeld properties.DestinationIPAddress wird sowohl target.ip als auch target.asset.ip zugeordnet.
properties.DestinationPort target.port Das Rohlogfeld properties.DestinationPort wird target.port zugeordnet.
properties.DeviceName principal.hostname, principal.asset.hostname Das Rohlogfeld properties.DeviceName wird sowohl principal.hostname als auch principal.asset.hostname zugeordnet.
properties.EmailClusterId additional.fields Mit dem Schlüssel EmailClusterId zugeordnet.
properties.EmailDirection network.direction Wenn der Wert Inbound ist, wird das UDM-Feld auf INBOUND gesetzt. Wenn der Wert Outbound ist, wird das UDM-Feld auf OUTBOUND gesetzt. Andernfalls wird er auf UNKNOWN_DIRECTION gesetzt.
properties.EmailLanguage additional.fields Mit dem Schlüssel EmailLanguage zugeordnet.
properties.InitiatingProcessAccountDomain principal.administrative_domain Das Rohlogfeld properties.InitiatingProcessAccountDomain wird principal.administrative_domain zugeordnet.
properties.InitiatingProcessAccountSid principal.user.windows_sid Das Rohlogfeld properties.InitiatingProcessAccountSid wird principal.user.windows_sid zugeordnet.
properties.InitiatingProcessCommandLine principal.process.command_line Das Rohlogfeld properties.InitiatingProcessCommandLine wird principal.process.command_line zugeordnet.
properties.InitiatingProcessFileName principal.process.file.full_path Wird in Kombination mit properties.InitiatingProcessFolderPath verwendet, um den vollständigen Pfad zu erstellen. Wenn properties.InitiatingProcessFolderPath bereits den Dateinamen enthält, wird er direkt verwendet.
properties.InitiatingProcessFolderPath principal.process.file.full_path Wird in Kombination mit properties.InitiatingProcessFileName verwendet, um den vollständigen Pfad zu erstellen.
properties.InitiatingProcessId principal.process.pid Das Rohlogfeld properties.InitiatingProcessId wird principal.process.pid zugeordnet.
properties.InitiatingProcessIntegrityLevel about.labels Mit dem Schlüssel InitiatingProcessIntegrityLevel zugeordnet.
properties.InitiatingProcessMD5 principal.process.file.md5 Das Rohlogfeld properties.InitiatingProcessMD5 wird principal.process.file.md5 zugeordnet.
properties.InitiatingProcessParentId principal.process.parent_process.pid Das Rohlogfeld properties.InitiatingProcessParentId wird principal.process.parent_process.pid zugeordnet.
properties.InitiatingProcessParentFileName principal.process.parent_process.file.full_path Das Rohlogfeld properties.InitiatingProcessParentFileName wird principal.process.parent_process.file.full_path zugeordnet.
properties.InitiatingProcessSHA1 principal.process.file.sha1 Das Rohlogfeld properties.InitiatingProcessSHA1 wird principal.process.file.sha1 zugeordnet.
properties.InitiatingProcessSHA256 principal.process.file.sha256 Das Rohlogfeld properties.InitiatingProcessSHA256 wird principal.process.file.sha256 zugeordnet.
properties.InitiatingProcessTokenElevation about.labels Mit dem Schlüssel InitiatingProcessTokenElevation zugeordnet.
properties.InternetMessageId additional.fields Der Parser entfernt die spitzen Klammern und ordnet den Wert dem Schlüssel InternetMessageId zu.
properties.IPAddress principal.ip, principal.asset.ip Das Rohlogfeld properties.IPAddress wird sowohl principal.ip als auch principal.asset.ip zugeordnet.
properties.LogonType extensions.auth.mechanism Wird verwendet, um den Wert für extensions.auth.mechanism abzuleiten.
properties.Port principal.port Das Rohlogfeld properties.Port wird principal.port zugeordnet.
properties.PreviousRegistryKey src.registry.registry_key Das Rohlogfeld properties.PreviousRegistryKey wird src.registry.registry_key zugeordnet.
properties.PreviousRegistryValueData src.registry.registry_value_data Das Rohlogfeld properties.PreviousRegistryValueData wird src.registry.registry_value_data zugeordnet.
properties.PreviousRegistryValueName src.registry.registry_value_name Das Rohlogfeld properties.PreviousRegistryValueName wird src.registry.registry_value_name zugeordnet.
properties.Query principal.user.attribute.labels Mit dem Schlüssel LDAP Search Scope zugeordnet.
properties.RecipientEmailAddress Nicht zugeordnet Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
properties.RegistryKey target.registry.registry_key Das Rohlogfeld properties.RegistryKey wird target.registry.registry_key zugeordnet.
properties.RegistryValueData target.registry.registry_value_data Das Rohlogfeld properties.RegistryValueData wird target.registry.registry_value_data zugeordnet.
properties.RegistryValueName target.registry.registry_value_name Das Rohlogfeld properties.RegistryValueName wird target.registry.registry_value_name zugeordnet.
properties.ReportId about.labels Mit dem Schlüssel ReportId zugeordnet.
properties.SenderIPv4 principal.ip, principal.asset.ip Das Rohlogfeld properties.SenderIPv4 wird sowohl principal.ip als auch principal.asset.ip zugeordnet.
properties.SenderMailFromAddress principal.user.attribute.labels Mit dem Schlüssel SenderMailFromAddress zugeordnet.
properties.SenderMailFromDomain principal.user.attribute.labels Mit dem Schlüssel SenderMailFromDomain zugeordnet.
properties.SenderObjectId principal.user.product_object_id Das Rohlogfeld properties.SenderObjectId wird principal.user.product_object_id zugeordnet.
properties.Timestamp metadata.event_timestamp Das Rohlogfeld properties.Timestamp wird metadata.event_timestamp zugeordnet.
tenantId observer.cloud.project.id Das Rohlogfeld tenantId wird observer.cloud.project.id zugeordnet.
extensions.auth.type Der Wert MACHINE wird vom Parser zugewiesen.
metadata.event_type Abgeleitet aus den Feldern category und properties.ActionType. Kann USER_LOGIN, USER_RESOURCE_ACCESS, USER_CHANGE_PASSWORD, REGISTRY_MODIFICATION, REGISTRY_DELETION, REGISTRY_CREATION, GENERIC_EVENT oder STATUS_UPDATE sein.
metadata.vendor_name Der Wert Microsoft wird vom Parser zugewiesen.
metadata.product_name Der Wert Microsoft Defender Identity wird vom Parser zugewiesen.
cs1 metadata.url_back_to_product Das Rohlogfeld cs1 wird metadata.url_back_to_product zugeordnet.
externalId metadata.product_log_id Das Rohlogfeld externalId wird metadata.product_log_id zugeordnet.
msg metadata.description Das Rohlogfeld msg wird metadata.description zugeordnet.
rule_name security_result.rule_name Das Rohlogfeld rule_name wird security_result.rule_name zugeordnet.
severity security_result.severity Das Rohlogfeld severity wird security_result.severity zugeordnet.
shost principal.hostname, principal.asset.hostname Das Rohlogfeld shost wird sowohl principal.hostname als auch principal.asset.hostname zugeordnet.
src principal.ip Das Rohlogfeld src wird principal.ip zugeordnet.
suser principal.user.user_display_name Das Rohlogfeld suser wird principal.user.user_display_name zugeordnet.
time metadata.event_timestamp Das Rohlogfeld time wird metadata.event_timestamp zugeordnet.
userid principal.user.userid Das Rohlogfeld userid wird principal.user.userid zugeordnet.
security_result.action Abgeleitet aus dem Feld properties.ActionType. Kann ALLOW oder BLOCK sein.
security_result.summary Abgeleitet entweder aus dem Feld category oder dem Feld properties.ActionType.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten