Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Microsoft Defender for Identity

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Microsoft Defender for Identity ke Google Security Operations menggunakan Azure Storage. Parser memproses log JSON, atau log berformat CEF jika penguraian JSON gagal. Log ini mengekstrak kolom, melakukan transformasi data seperti konversi string, penggantian nama, dan penggabungan, serta memetakannya ke Model Data Terpadu (UDM), menangani berbagai format log, dan memperkaya data dengan konteks tambahan seperti label dan detail autentikasi.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
tenant Azure yang aktif
Akses istimewa ke Azure dan peran Keamanan Administratif

Mengonfigurasi akun Azure Storage

Di konsol Azure, cari Storage accounts.
Klik Buat.
Tentukan nilai untuk parameter input berikut:
- Langganan: pilih langganan.
- Grup Resource: pilih grup resource.
- Region: pilih region.
- Performa: pilih jenis performa (direkomendasikan Standar).
- Redundansi: pilih jenis redundansi (direkomendasikan GRS atau LRS).
- Nama akun penyimpanan: masukkan nama untuk akun Penyimpanan baru.
Klik Review + create.
Tinjau ringkasan akun, lalu klik Buat.
Dari halaman Overview akun penyimpanan, pilih submenu Access keys di Security + networking.
Klik Tampilkan di samping key1 atau key2.
Klik Salin ke papan klip untuk menyalin kunci.
Simpan kunci di lokasi yang aman untuk referensi di masa mendatang.
Dari halaman Overview akun penyimpanan, pilih submenu Endpoints di Settings.
Klik Salin ke papan klip untuk menyalin URL endpoint Blob service. (misalnya, https://<storageaccountname>.blob.core.windows.net).
Simpan URL endpoint di lokasi yang aman untuk referensi di masa mendatang.
Buka Ringkasan > Tampilan JSON.
Salin dan simpan ID Resource Storage.

Mengonfigurasi Ekspor Log untuk Microsoft Defender for Identity

Login ke Defender Portal menggunakan akun istimewa.
Buka Setelan.
Pilih tab Microsoft Defender XDR.
Pilih Streaming API dari bagian umum, lalu klik Tambahkan.
Pilih Teruskan peristiwa ke Azure Storage.
Berikan detail konfigurasi berikut:
- Nama: Masukkan nama yang unik dan bermakna.
- Pilih Teruskan peristiwa ke Azure Storage.
- ID Resource Akun Penyimpanan: Masukkan ID resource Azure Storage yang disalin sebelumnya.
- Jenis Acara: Pilih Peringatan & Perilaku dan Perangkat.
Klik Kirim.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed (misalnya, Defender Identity Logs).
Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
Pilih Microsoft Defender for Identity sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Azure uri: URL endpoint blob.
  
  ENDPOINT_URL/BLOB_NAME
  
  Ganti kode berikut:
  - ENDPOINT_URL: URL endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
  - BLOB_NAME: nama blob. (seperti, insights-logs-<logname>)
- URI adalah: pilih sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Kunci bersama: kunci akses ke Azure Blob Storage.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Azure uri: URL endpoint blob.

ENDPOINT_URL/BLOB_NAME

Ganti kode berikut:
- ENDPOINT_URL: URL endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
- BLOB_NAME: nama blob. (seperti, insights-logs-<logname>)
- URI adalah: pilih sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda memberikan izin yang sesuai ke akun layanan.
Kunci bersama: kunci akses ke Azure Blob Storage.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`category`	`metadata.log_type`	Kolom `category` log mentah dipetakan ke `metadata.log_type`.
`properties.AccountDisplayName`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AccountName`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AccountUpn`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.ActionType`	`metadata.product_event_type`	Kolom `properties.ActionType` log mentah dipetakan ke `metadata.product_event_type`.
`properties.AdditionalFields.ACTOR.ACCOUNT`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.ACTOR.DEVICE`	`principal.asset.asset_id`	Parser mengekstrak nilai `properties.AdditionalFields.ACTOR.DEVICE` dan menambahkan `ASSET ID:` di depannya.
`properties.AdditionalFields.ACTOR.ENTITY_USER`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.Count`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.DestinationComputerDnsName`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.DestinationComputerObjectGuid`	`target.asset.product_object_id`	Elemen pertama array `properties.AdditionalFields.DestinationComputerObjectGuid` dipetakan ke `target.asset.product_object_id`. Elemen berikutnya dipetakan ke `additional.fields` dengan kunci seperti `DestinationComputerObjectGuid_1`, `DestinationComputerObjectGuid_2`, dll.
`properties.AdditionalFields.DestinationComputerOperatingSystem`	`target.asset.platform_software.platform_version`	Elemen pertama array `properties.AdditionalFields.DestinationComputerOperatingSystem` dipetakan ke `target.asset.platform_software.platform_version`. Elemen berikutnya dipetakan ke `additional.fields` dengan kunci seperti `DestinationComputerOperatingSystem_1`, `DestinationComputerOperatingSystem_2`, dll.
`properties.AdditionalFields.DestinationComputerOperatingSystemType`	`target.asset.platform_software.platform`	Jika nilainya adalah `windows`, kolom UDM akan ditetapkan ke `WINDOWS`.
`properties.AdditionalFields.DestinationComputerOperatingSystemVersion`	`target.platform_version`	Elemen pertama array `properties.AdditionalFields.DestinationComputerOperatingSystemVersion` dipetakan ke `target.platform_version`. Elemen berikutnya dipetakan ke `additional.fields` dengan kunci seperti `DestinationComputerOperatingSystemVersion1`, `DestinationComputerOperatingSystemVersion2`, dll.
`properties.AdditionalFields.FROM.DEVICE`	`principal.asset.asset_id`	Parser mengekstrak nilai `properties.AdditionalFields.FROM.DEVICE` dan menambahkan `ASSET ID:` di depannya.
`properties.AdditionalFields.KerberosDelegationType`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.SourceAccountId`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.SourceAccountSid`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.SourceComputerObjectGuid`	`principal.asset.product_object_id`	Kolom `properties.AdditionalFields.SourceComputerObjectGuid` log mentah dipetakan ke `principal.asset.product_object_id`.
`properties.AdditionalFields.SourceComputerOperatingSystem`	`principal.asset.platform_software.platform_version`	Kolom `properties.AdditionalFields.SourceComputerOperatingSystem` log mentah dipetakan ke `principal.asset.platform_software.platform_version`.
`properties.AdditionalFields.SourceComputerOperatingSystemType`	`principal.asset.platform_software.platform_version`	Jika nilainya adalah `windows`, kolom UDM akan ditetapkan ke `WINDOWS`.
`properties.AdditionalFields.SourceComputerOperatingSystemVersion`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.Spns`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.AdditionalFields.TARGET_OBJECT.USER`	`target.user.userid`	Elemen pertama array `properties.AdditionalFields.TARGET_OBJECT.USER` dipetakan ke `target.user.userid`. Elemen berikutnya dipetakan ke `additional.fields` dengan kunci seperti `TARGET_OBJECT.USER_1`, `TARGET_OBJECT.USER_2`, dll.
`properties.AdditionalFields.TO.DEVICE`	`target.asset.asset_id`	Elemen pertama array `properties.AdditionalFields.TO.DEVICE` dipetakan ke `target.asset.asset_id` dengan `ASSET ID:` yang ditambahkan di depannya. Elemen berikutnya dipetakan ke `additional.fields` dengan kunci seperti `TODEVICE1`, `TODEVICE2`, dll.
`properties.AuthenticationDetails`	`extensions.auth.auth_details`	Parser menghapus kurung kurawal, kurung siku, dan tanda petik ganda dari nilai dan menambahkan `AuthenticationDetails:` di depannya.
`properties.DeliveryAction`	`additional.fields`	Dipetakan dengan kunci `DeliveryAction`.
`properties.DeliveryLocation`	`additional.fields`	Dipetakan dengan kunci `DeliveryLocation`.
`properties.DestinationDeviceName`	`target.hostname`, `target.asset.hostname`	Kolom `properties.DestinationDeviceName` log mentah dipetakan ke `target.hostname` dan `target.asset.hostname`.
`properties.DestinationIPAddress`	`target.ip`, `target.asset.ip`	Kolom `properties.DestinationIPAddress` log mentah dipetakan ke `target.ip` dan `target.asset.ip`.
`properties.DestinationPort`	`target.port`	Kolom `properties.DestinationPort` log mentah dipetakan ke `target.port`.
`properties.DeviceName`	`principal.hostname`, `principal.asset.hostname`	Kolom `properties.DeviceName` log mentah dipetakan ke `principal.hostname` dan `principal.asset.hostname`.
`properties.EmailClusterId`	`additional.fields`	Dipetakan dengan kunci `EmailClusterId`.
`properties.EmailDirection`	`network.direction`	Jika nilainya adalah `Inbound`, kolom UDM akan ditetapkan ke `INBOUND`. Jika nilainya adalah `Outbound`, kolom UDM akan ditetapkan ke `OUTBOUND`. Jika tidak, nilai ini akan ditetapkan ke `UNKNOWN_DIRECTION`.
`properties.EmailLanguage`	`additional.fields`	Dipetakan dengan kunci `EmailLanguage`.
`properties.InitiatingProcessAccountDomain`	`principal.administrative_domain`	Kolom `properties.InitiatingProcessAccountDomain` log mentah dipetakan ke `principal.administrative_domain`.
`properties.InitiatingProcessAccountSid`	`principal.user.windows_sid`	Kolom `properties.InitiatingProcessAccountSid` log mentah dipetakan ke `principal.user.windows_sid`.
`properties.InitiatingProcessCommandLine`	`principal.process.command_line`	Kolom `properties.InitiatingProcessCommandLine` log mentah dipetakan ke `principal.process.command_line`.
`properties.InitiatingProcessFileName`	`principal.process.file.full_path`	Digunakan bersama dengan `properties.InitiatingProcessFolderPath` untuk membuat jalur lengkap. Jika `properties.InitiatingProcessFolderPath` sudah berisi nama file, nama tersebut akan digunakan secara langsung.
`properties.InitiatingProcessFolderPath`	`principal.process.file.full_path`	Digunakan bersama dengan `properties.InitiatingProcessFileName` untuk membuat jalur lengkap.
`properties.InitiatingProcessId`	`principal.process.pid`	Kolom `properties.InitiatingProcessId` log mentah dipetakan ke `principal.process.pid`.
`properties.InitiatingProcessIntegrityLevel`	`about.labels`	Dipetakan dengan kunci `InitiatingProcessIntegrityLevel`.
`properties.InitiatingProcessMD5`	`principal.process.file.md5`	Kolom `properties.InitiatingProcessMD5` log mentah dipetakan ke `principal.process.file.md5`.
`properties.InitiatingProcessParentId`	`principal.process.parent_process.pid`	Kolom `properties.InitiatingProcessParentId` log mentah dipetakan ke `principal.process.parent_process.pid`.
`properties.InitiatingProcessParentFileName`	`principal.process.parent_process.file.full_path`	Kolom `properties.InitiatingProcessParentFileName` log mentah dipetakan ke `principal.process.parent_process.file.full_path`.
`properties.InitiatingProcessSHA1`	`principal.process.file.sha1`	Kolom `properties.InitiatingProcessSHA1` log mentah dipetakan ke `principal.process.file.sha1`.
`properties.InitiatingProcessSHA256`	`principal.process.file.sha256`	Kolom `properties.InitiatingProcessSHA256` log mentah dipetakan ke `principal.process.file.sha256`.
`properties.InitiatingProcessTokenElevation`	`about.labels`	Dipetakan dengan kunci `InitiatingProcessTokenElevation`.
`properties.InternetMessageId`	`additional.fields`	Parser menghapus tanda kurung sudut dan memetakan nilai dengan kunci `InternetMessageId`.
`properties.IPAddress`	`principal.ip`, `principal.asset.ip`	Kolom `properties.IPAddress` log mentah dipetakan ke `principal.ip` dan `principal.asset.ip`.
`properties.LogonType`	`extensions.auth.mechanism`	Digunakan untuk mendapatkan nilai `extensions.auth.mechanism`.
`properties.Port`	`principal.port`	Kolom `properties.Port` log mentah dipetakan ke `principal.port`.
`properties.PreviousRegistryKey`	`src.registry.registry_key`	Kolom `properties.PreviousRegistryKey` log mentah dipetakan ke `src.registry.registry_key`.
`properties.PreviousRegistryValueData`	`src.registry.registry_value_data`	Kolom `properties.PreviousRegistryValueData` log mentah dipetakan ke `src.registry.registry_value_data`.
`properties.PreviousRegistryValueName`	`src.registry.registry_value_name`	Kolom `properties.PreviousRegistryValueName` log mentah dipetakan ke `src.registry.registry_value_name`.
`properties.Query`	`principal.user.attribute.labels`	Dipetakan dengan kunci `LDAP Search Scope`.
`properties.RecipientEmailAddress`	Tidak Dipetakan	Kolom ini tidak dipetakan ke objek IDM di UDM.
`properties.RegistryKey`	`target.registry.registry_key`	Kolom `properties.RegistryKey` log mentah dipetakan ke `target.registry.registry_key`.
`properties.RegistryValueData`	`target.registry.registry_value_data`	Kolom `properties.RegistryValueData` log mentah dipetakan ke `target.registry.registry_value_data`.
`properties.RegistryValueName`	`target.registry.registry_value_name`	Kolom `properties.RegistryValueName` log mentah dipetakan ke `target.registry.registry_value_name`.
`properties.ReportId`	`about.labels`	Dipetakan dengan kunci `ReportId`.
`properties.SenderIPv4`	`principal.ip`, `principal.asset.ip`	Kolom `properties.SenderIPv4` log mentah dipetakan ke `principal.ip` dan `principal.asset.ip`.
`properties.SenderMailFromAddress`	`principal.user.attribute.labels`	Dipetakan dengan kunci `SenderMailFromAddress`.
`properties.SenderMailFromDomain`	`principal.user.attribute.labels`	Dipetakan dengan kunci `SenderMailFromDomain`.
`properties.SenderObjectId`	`principal.user.product_object_id`	Kolom `properties.SenderObjectId` log mentah dipetakan ke `principal.user.product_object_id`.
`properties.Timestamp`	`metadata.event_timestamp`	Kolom `properties.Timestamp` log mentah dipetakan ke `metadata.event_timestamp`.
`tenantId`	`observer.cloud.project.id`	Kolom `tenantId` log mentah dipetakan ke `observer.cloud.project.id`.
T/A	`extensions.auth.type`	Nilai `MACHINE` ditetapkan oleh parser.
T/A	`metadata.event_type`	Diperoleh berdasarkan kolom `category` dan `properties.ActionType`. Dapat berupa `USER_LOGIN`, `USER_RESOURCE_ACCESS`, `USER_CHANGE_PASSWORD`, `REGISTRY_MODIFICATION`, `REGISTRY_DELETION`, `REGISTRY_CREATION`, `GENERIC_EVENT`, atau `STATUS_UPDATE`.
T/A	`metadata.vendor_name`	Nilai `Microsoft` ditetapkan oleh parser.
T/A	`metadata.product_name`	Nilai `Microsoft Defender Identity` ditetapkan oleh parser.
`cs1`	`metadata.url_back_to_product`	Kolom `cs1` log mentah dipetakan ke `metadata.url_back_to_product`.
`externalId`	`metadata.product_log_id`	Kolom `externalId` log mentah dipetakan ke `metadata.product_log_id`.
`msg`	`metadata.description`	Kolom `msg` log mentah dipetakan ke `metadata.description`.
`rule_name`	`security_result.rule_name`	Kolom `rule_name` log mentah dipetakan ke `security_result.rule_name`.
`severity`	`security_result.severity`	Kolom `severity` log mentah dipetakan ke `security_result.severity`.
`shost`	`principal.hostname`, `principal.asset.hostname`	Kolom `shost` log mentah dipetakan ke `principal.hostname` dan `principal.asset.hostname`.
`src`	`principal.ip`	Kolom `src` log mentah dipetakan ke `principal.ip`.
`suser`	`principal.user.user_display_name`	Kolom `suser` log mentah dipetakan ke `principal.user.user_display_name`.
`time`	`metadata.event_timestamp`	Kolom `time` log mentah dipetakan ke `metadata.event_timestamp`.
`userid`	`principal.user.userid`	Kolom `userid` log mentah dipetakan ke `principal.user.userid`.
T/A	`security_result.action`	Diperoleh berdasarkan kolom `properties.ActionType`. Dapat berupa `ALLOW` atau `BLOCK`.
T/A	`security_result.summary`	Diperoleh dari kolom `category` atau kolom `properties.ActionType`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.