Recolha registos do Microsoft Defender for Identity
Compatível com:
Google secops
SIEM
Este documento explica como carregar os registos do Microsoft Defender for Identity para o Google Security Operations através do armazenamento do Azure. O analisador processa registos JSON ou registos formatados em CEF se a análise JSON falhar. Extrai campos, realiza transformações de dados, como conversões de strings, mudança de nomes e união, e mapeia-os para o modelo de dados unificado (UDM), processando vários formatos de registos e enriquecendo os dados com contexto adicional, como etiquetas e detalhes de autenticação.
Antes de começar
Certifique-se de que tem os seguintes pré-requisitos:
- Instância do Google SecOps
- Inquilino do Azure ativo
- Acesso privilegiado ao Azure e função de segurança administrativa
Configure a conta de armazenamento do Azure
- Na consola do Azure, pesquise Contas de armazenamento.
- Clique em Criar.
- Especifique valores para os seguintes parâmetros de entrada:
- Subscrição: selecione a subscrição.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Desempenho: selecione o tipo de desempenho (Padrão recomendado).
- Redundância: selecione o tipo de redundância (GRS ou LRS recomendado).
- Nome da conta de armazenamento: introduza um nome para a nova conta de armazenamento.
- Clique em Rever + criar.
- Reveja a vista geral da conta e clique em Criar.
- Na página Vista geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
- Clique em Mostrar junto a key1 ou key2.
- Clique em Copiar para a área de transferência para copiar a chave.
- Guarde a chave num local seguro para referência futura.
- Na página Vista geral da conta de armazenamento, selecione o submenu Pontos finais em Definições.
- Clique em Copiar para a área de transferência para copiar o URL do ponto final do serviço Blob. (por exemplo,
https://<storageaccountname>.blob.core.windows.net). - Guarde o URL do ponto final num local seguro para referência futura.
- Aceda a Vista geral > Vista JSON.
- Copie e guarde o ID do recurso do armazenamento.
Configure a exportação de registos para o Microsoft Defender for Identity
- Inicie sessão no Defender Portal com uma conta privilegiada.
- Aceda a Definições.
- Selecione o separador Microsoft Defender XDR.
- Selecione API Streaming na secção geral e clique em Adicionar.
- Selecione Encaminhar eventos para o Azure Storage.
- Indique os seguintes detalhes de configuração:
- Nome: introduza um nome exclusivo e significativo.
- Selecione Encaminhar eventos para o Azure Storage.
- ID do recurso da conta de armazenamento: introduza o ID do recurso do Azure Storage copiado anteriormente.
- Tipos de eventos: selecione Alertas e comportamentos e Dispositivos.
- Clique em Enviar.
Configure feeds
Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:
- Definições do SIEM > Feeds > Adicionar novo feed
- Content Hub > Pacotes de conteúdo > Começar
Como configurar o feed do Microsoft Defender for Identity
- Clique no pacote Microsoft Defender.
Especifique os seguintes valores:
- Source Type: Microsoft Azure Blob Storage V2.
URI do Azure: o URL do ponto final do blob.
ENDPOINT_URL/BLOB_NAMESubstitua o seguinte:
ENDPOINT_URL: o URL do ponto final do blob. (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME: o nome do blob. (comoinsights-logs-<logname>)
Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
category |
metadata.log_type |
O campo category do registo não processado está mapeado para metadata.log_type. |
properties.AccountDisplayName |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AccountName |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AccountUpn |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.ActionType |
metadata.product_event_type |
O campo properties.ActionType do registo não processado está mapeado para metadata.product_event_type. |
properties.AdditionalFields.ACTOR.ACCOUNT |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.ACTOR.DEVICE |
principal.asset.asset_id |
O analisador extrai o valor de properties.AdditionalFields.ACTOR.DEVICE e adiciona ASSET ID: antes. |
properties.AdditionalFields.ACTOR.ENTITY_USER |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.Count |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.DestinationComputerDnsName |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.DestinationComputerObjectGuid |
target.asset.product_object_id |
O primeiro elemento da matriz properties.AdditionalFields.DestinationComputerObjectGuid está mapeado para target.asset.product_object_id. Os elementos subsequentes são mapeados para additional.fields com chaves como DestinationComputerObjectGuid_1, DestinationComputerObjectGuid_2, etc. |
properties.AdditionalFields.DestinationComputerOperatingSystem |
target.asset.platform_software.platform_version |
O primeiro elemento da matriz properties.AdditionalFields.DestinationComputerOperatingSystem está mapeado para target.asset.platform_software.platform_version. Os elementos subsequentes são mapeados para additional.fields com chaves como DestinationComputerOperatingSystem_1, DestinationComputerOperatingSystem_2, etc. |
properties.AdditionalFields.DestinationComputerOperatingSystemType |
target.asset.platform_software.platform |
Se o valor for windows, o campo UDM é definido como WINDOWS. |
properties.AdditionalFields.DestinationComputerOperatingSystemVersion |
target.platform_version |
O primeiro elemento da matriz properties.AdditionalFields.DestinationComputerOperatingSystemVersion está mapeado para target.platform_version. Os elementos subsequentes são mapeados para additional.fields com chaves como DestinationComputerOperatingSystemVersion1, DestinationComputerOperatingSystemVersion2, etc. |
properties.AdditionalFields.FROM.DEVICE |
principal.asset.asset_id |
O analisador extrai o valor de properties.AdditionalFields.FROM.DEVICE e adiciona ASSET ID: antes. |
properties.AdditionalFields.KerberosDelegationType |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.SourceAccountId |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.SourceAccountSid |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.SourceComputerObjectGuid |
principal.asset.product_object_id |
O campo properties.AdditionalFields.SourceComputerObjectGuid do registo não processado está mapeado para principal.asset.product_object_id. |
properties.AdditionalFields.SourceComputerOperatingSystem |
principal.asset.platform_software.platform_version |
O campo properties.AdditionalFields.SourceComputerOperatingSystem do registo não processado está mapeado para principal.asset.platform_software.platform_version. |
properties.AdditionalFields.SourceComputerOperatingSystemType |
principal.asset.platform_software.platform_version |
Se o valor for windows, o campo UDM é definido como WINDOWS. |
properties.AdditionalFields.SourceComputerOperatingSystemVersion |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.Spns |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.AdditionalFields.TARGET_OBJECT.USER |
target.user.userid |
O primeiro elemento da matriz properties.AdditionalFields.TARGET_OBJECT.USER está mapeado para target.user.userid. Os elementos subsequentes são mapeados para additional.fields com chaves como TARGET_OBJECT.USER_1, TARGET_OBJECT.USER_2, etc. |
properties.AdditionalFields.TO.DEVICE |
target.asset.asset_id |
O primeiro elemento da matriz properties.AdditionalFields.TO.DEVICE é mapeado para target.asset.asset_id com ASSET ID: adicionado no início. Os elementos subsequentes são mapeados para additional.fields com chaves como TODEVICE1, TODEVICE2, etc. |
properties.AuthenticationDetails |
extensions.auth.auth_details |
O analisador remove as chavetas, os parênteses retos e as aspas duplas do valor e antepõe AuthenticationDetails:. |
properties.DeliveryAction |
additional.fields |
Mapeado com a chave DeliveryAction. |
properties.DeliveryLocation |
additional.fields |
Mapeado com a chave DeliveryLocation. |
properties.DestinationDeviceName |
target.hostname, target.asset.hostname |
O campo properties.DestinationDeviceName do registo não processado está mapeado para target.hostname e target.asset.hostname. |
properties.DestinationIPAddress |
target.ip, target.asset.ip |
O campo properties.DestinationIPAddress do registo não processado está mapeado para target.ip e target.asset.ip. |
properties.DestinationPort |
target.port |
O campo properties.DestinationPort do registo não processado está mapeado para target.port. |
properties.DeviceName |
principal.hostname, principal.asset.hostname |
O campo properties.DeviceName do registo não processado está mapeado para principal.hostname e principal.asset.hostname. |
properties.EmailClusterId |
additional.fields |
Mapeado com a chave EmailClusterId. |
properties.EmailDirection |
network.direction |
Se o valor for Inbound, o campo UDM é definido como INBOUND. Se o valor for Outbound, o campo UDM é definido como OUTBOUND. Caso contrário, é definido como UNKNOWN_DIRECTION. |
properties.EmailLanguage |
additional.fields |
Mapeado com a chave EmailLanguage. |
properties.InitiatingProcessAccountDomain |
principal.administrative_domain |
O campo properties.InitiatingProcessAccountDomain do registo não processado está mapeado para principal.administrative_domain. |
properties.InitiatingProcessAccountSid |
principal.user.windows_sid |
O campo properties.InitiatingProcessAccountSid do registo não processado está mapeado para principal.user.windows_sid. |
properties.InitiatingProcessCommandLine |
principal.process.command_line |
O campo properties.InitiatingProcessCommandLine do registo não processado está mapeado para principal.process.command_line. |
properties.InitiatingProcessFileName |
principal.process.file.full_path |
Usado em combinação com properties.InitiatingProcessFolderPath para construir o caminho completo. Se properties.InitiatingProcessFolderPath já contiver o nome do ficheiro, este é usado diretamente. |
properties.InitiatingProcessFolderPath |
principal.process.file.full_path |
Usado em combinação com properties.InitiatingProcessFileName para construir o caminho completo. |
properties.InitiatingProcessId |
principal.process.pid |
O campo properties.InitiatingProcessId do registo não processado está mapeado para principal.process.pid. |
properties.InitiatingProcessIntegrityLevel |
about.labels |
Mapeado com a chave InitiatingProcessIntegrityLevel. |
properties.InitiatingProcessMD5 |
principal.process.file.md5 |
O campo properties.InitiatingProcessMD5 do registo não processado está mapeado para principal.process.file.md5. |
properties.InitiatingProcessParentId |
principal.process.parent_process.pid |
O campo properties.InitiatingProcessParentId do registo não processado está mapeado para principal.process.parent_process.pid. |
properties.InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
O campo properties.InitiatingProcessParentFileName do registo não processado está mapeado para principal.process.parent_process.file.full_path. |
properties.InitiatingProcessSHA1 |
principal.process.file.sha1 |
O campo properties.InitiatingProcessSHA1 do registo não processado está mapeado para principal.process.file.sha1. |
properties.InitiatingProcessSHA256 |
principal.process.file.sha256 |
O campo properties.InitiatingProcessSHA256 do registo não processado está mapeado para principal.process.file.sha256. |
properties.InitiatingProcessTokenElevation |
about.labels |
Mapeado com a chave InitiatingProcessTokenElevation. |
properties.InternetMessageId |
additional.fields |
O analisador remove os sinais de maior e menor e mapeia o valor com a chave InternetMessageId. |
properties.IPAddress |
principal.ip, principal.asset.ip |
O campo properties.IPAddress do registo não processado está mapeado para principal.ip e principal.asset.ip. |
properties.LogonType |
extensions.auth.mechanism |
Usado para derivar o valor de extensions.auth.mechanism. |
properties.Port |
principal.port |
O campo properties.Port do registo não processado está mapeado para principal.port. |
properties.PreviousRegistryKey |
src.registry.registry_key |
O campo properties.PreviousRegistryKey do registo não processado está mapeado para src.registry.registry_key. |
properties.PreviousRegistryValueData |
src.registry.registry_value_data |
O campo properties.PreviousRegistryValueData do registo não processado está mapeado para src.registry.registry_value_data. |
properties.PreviousRegistryValueName |
src.registry.registry_value_name |
O campo properties.PreviousRegistryValueName do registo não processado está mapeado para src.registry.registry_value_name. |
properties.Query |
principal.user.attribute.labels |
Mapeado com a chave LDAP Search Scope. |
properties.RecipientEmailAddress |
Não mapeado | Este campo não está mapeado para o objeto IDM no UDM. |
properties.RegistryKey |
target.registry.registry_key |
O campo properties.RegistryKey do registo não processado está mapeado para target.registry.registry_key. |
properties.RegistryValueData |
target.registry.registry_value_data |
O campo properties.RegistryValueData do registo não processado está mapeado para target.registry.registry_value_data. |
properties.RegistryValueName |
target.registry.registry_value_name |
O campo properties.RegistryValueName do registo não processado está mapeado para target.registry.registry_value_name. |
properties.ReportId |
about.labels |
Mapeado com a chave ReportId. |
properties.SenderIPv4 |
principal.ip, principal.asset.ip |
O campo properties.SenderIPv4 do registo não processado está mapeado para principal.ip e principal.asset.ip. |
properties.SenderMailFromAddress |
principal.user.attribute.labels |
Mapeado com a chave SenderMailFromAddress. |
properties.SenderMailFromDomain |
principal.user.attribute.labels |
Mapeado com a chave SenderMailFromDomain. |
properties.SenderObjectId |
principal.user.product_object_id |
O campo properties.SenderObjectId do registo não processado está mapeado para principal.user.product_object_id. |
properties.Timestamp |
metadata.event_timestamp |
O campo properties.Timestamp do registo não processado está mapeado para metadata.event_timestamp. |
tenantId |
observer.cloud.project.id |
O campo tenantId do registo não processado está mapeado para observer.cloud.project.id. |
| N/A | extensions.auth.type |
O valor MACHINE é atribuído pelo analisador. |
| N/A | metadata.event_type |
Derivado com base nos campos category e properties.ActionType. Pode ser USER_LOGIN, USER_RESOURCE_ACCESS, USER_CHANGE_PASSWORD, REGISTRY_MODIFICATION, REGISTRY_DELETION, REGISTRY_CREATION, GENERIC_EVENT ou STATUS_UPDATE. |
| N/A | metadata.vendor_name |
O valor Microsoft é atribuído pelo analisador. |
| N/A | metadata.product_name |
O valor Microsoft Defender Identity é atribuído pelo analisador. |
cs1 |
metadata.url_back_to_product |
O campo cs1 do registo não processado está mapeado para metadata.url_back_to_product. |
externalId |
metadata.product_log_id |
O campo externalId do registo não processado está mapeado para metadata.product_log_id. |
msg |
metadata.description |
O campo msg do registo não processado está mapeado para metadata.description. |
rule_name |
security_result.rule_name |
O campo rule_name do registo não processado está mapeado para security_result.rule_name. |
severity |
security_result.severity |
O campo severity do registo não processado está mapeado para security_result.severity. |
shost |
principal.hostname, principal.asset.hostname |
O campo shost do registo não processado está mapeado para principal.hostname e principal.asset.hostname. |
src |
principal.ip |
O campo src do registo não processado está mapeado para principal.ip. |
suser |
principal.user.user_display_name |
O campo suser do registo não processado está mapeado para principal.user.user_display_name. |
time |
metadata.event_timestamp |
O campo time do registo não processado está mapeado para metadata.event_timestamp. |
userid |
principal.user.userid |
O campo userid do registo não processado está mapeado para principal.user.userid. |
| N/A | security_result.action |
Derivado com base no campo properties.ActionType. Pode ser ALLOW ou BLOCK. |
| N/A | security_result.summary |
Derivado do campo category ou do campo properties.ActionType. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.