Recolha registos do Microsoft Defender for Identity

Compatível com:

Este documento explica como carregar os registos do Microsoft Defender for Identity para o Google Security Operations através do armazenamento do Azure. O analisador processa registos JSON ou registos formatados CEF se a análise JSON falhar. Extrai campos, realiza transformações de dados, como conversões de strings, mudança de nomes e união, e mapeia-os para o modelo de dados unificado (UDM), processando vários formatos de registos e enriquecendo os dados com contexto adicional, como etiquetas e detalhes de autenticação.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Inquilino do Azure ativo
  • Acesso privilegiado ao Azure e função de segurança administrativa

Configure a conta de armazenamento do Azure

  1. Na consola do Azure, pesquise Contas de armazenamento.
  2. Clique em Criar.
  3. Especifique valores para os seguintes parâmetros de entrada:
    • Subscrição: selecione a subscrição.
    • Grupo de recursos: selecione o grupo de recursos.
    • Região: selecione a região.
    • Desempenho: selecione o tipo de desempenho (Padrão recomendado).
    • Redundância: selecione o tipo de redundância (GRS ou LRS recomendado).
    • Nome da conta de armazenamento: introduza um nome para a nova conta de armazenamento.
  4. Clique em Rever + criar.
  5. Reveja a vista geral da conta e clique em Criar.
  6. Na página Vista geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
  7. Clique em Mostrar junto a key1 ou key2.
  8. Clique em Copiar para a área de transferência para copiar a chave.
  9. Guarde a chave num local seguro para referência futura.
  10. Na página Vista geral da conta de armazenamento, selecione o submenu Pontos finais em Definições.
  11. Clique em Copiar para a área de transferência para copiar o URL do ponto final do serviço Blob. (por exemplo, https://<storageaccountname>.blob.core.windows.net).
  12. Guarde o URL do ponto final num local seguro para referência futura.
  13. Aceda a Vista geral > Vista JSON.
  14. Copie e guarde o ID do recurso do armazenamento.

Configure a exportação de registos para o Microsoft Defender for Identity

  1. Inicie sessão no Portal do Defender com uma conta privilegiada.
  2. Aceda a Definições.
  3. Selecione o separador Microsoft Defender XDR.
  4. Selecione API Streaming na secção geral e clique em Adicionar.
  5. Selecione Encaminhar eventos para o Azure Storage.
  6. Indique os seguintes detalhes de configuração:
    • Nome: introduza um nome exclusivo e significativo.
    • Selecione Encaminhar eventos para o Azure Storage.
    • ID do recurso da conta de armazenamento: introduza o ID do recurso do Azure Storage copiado anteriormente.
    • Tipos de eventos: selecione Alertas e comportamentos e Dispositivos.
  7. Clique em Enviar.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do Microsoft Defender for Identity

  1. Clique no pacote Microsoft Defender.

  2. Especifique os seguintes valores:

    • Source Type: Microsoft Azure Blob Storage V2.

    • URI do Azure: o URL do ponto final do blob.

      ENDPOINT_URL/BLOB_NAME

      Substitua o seguinte:

      • ENDPOINT_URL: o URL do ponto final do blob. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: o nome do blob. (como insights-logs-<logname>)

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  3. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
category metadata.log_type O campo category do registo não processado está mapeado para metadata.log_type.
properties.AccountDisplayName Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AccountName Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AccountUpn Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.ActionType metadata.product_event_type O campo properties.ActionType do registo não processado está mapeado para metadata.product_event_type.
properties.AdditionalFields.ACTOR.ACCOUNT Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.ACTOR.DEVICE principal.asset.asset_id O analisador extrai o valor de properties.AdditionalFields.ACTOR.DEVICE e adiciona ASSET ID: antes.
properties.AdditionalFields.ACTOR.ENTITY_USER Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.Count Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.DestinationComputerDnsName Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.DestinationComputerObjectGuid target.asset.product_object_id O primeiro elemento da matriz properties.AdditionalFields.DestinationComputerObjectGuid está mapeado para target.asset.product_object_id. Os elementos subsequentes são mapeados para additional.fields com chaves como DestinationComputerObjectGuid_1, DestinationComputerObjectGuid_2, etc.
properties.AdditionalFields.DestinationComputerOperatingSystem target.asset.platform_software.platform_version O primeiro elemento da matriz properties.AdditionalFields.DestinationComputerOperatingSystem está mapeado para target.asset.platform_software.platform_version. Os elementos subsequentes são mapeados para additional.fields com chaves como DestinationComputerOperatingSystem_1, DestinationComputerOperatingSystem_2, etc.
properties.AdditionalFields.DestinationComputerOperatingSystemType target.asset.platform_software.platform Se o valor for windows, o campo UDM é definido como WINDOWS.
properties.AdditionalFields.DestinationComputerOperatingSystemVersion target.platform_version O primeiro elemento da matriz properties.AdditionalFields.DestinationComputerOperatingSystemVersion está mapeado para target.platform_version. Os elementos subsequentes são mapeados para additional.fields com chaves como DestinationComputerOperatingSystemVersion1, DestinationComputerOperatingSystemVersion2, etc.
properties.AdditionalFields.FROM.DEVICE principal.asset.asset_id O analisador extrai o valor de properties.AdditionalFields.FROM.DEVICE e adiciona ASSET ID: antes.
properties.AdditionalFields.KerberosDelegationType Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.SourceAccountId Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.SourceAccountSid Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.SourceComputerObjectGuid principal.asset.product_object_id O campo properties.AdditionalFields.SourceComputerObjectGuid do registo não processado está mapeado para principal.asset.product_object_id.
properties.AdditionalFields.SourceComputerOperatingSystem principal.asset.platform_software.platform_version O campo properties.AdditionalFields.SourceComputerOperatingSystem do registo não processado está mapeado para principal.asset.platform_software.platform_version.
properties.AdditionalFields.SourceComputerOperatingSystemType principal.asset.platform_software.platform_version Se o valor for windows, o campo UDM é definido como WINDOWS.
properties.AdditionalFields.SourceComputerOperatingSystemVersion Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.Spns Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.AdditionalFields.TARGET_OBJECT.USER target.user.userid O primeiro elemento da matriz properties.AdditionalFields.TARGET_OBJECT.USER está mapeado para target.user.userid. Os elementos subsequentes são mapeados para additional.fields com chaves como TARGET_OBJECT.USER_1, TARGET_OBJECT.USER_2, etc.
properties.AdditionalFields.TO.DEVICE target.asset.asset_id O primeiro elemento da matriz properties.AdditionalFields.TO.DEVICE é mapeado para target.asset.asset_id com ASSET ID: adicionado no início. Os elementos subsequentes são mapeados para additional.fields com chaves como TODEVICE1, TODEVICE2, etc.
properties.AuthenticationDetails extensions.auth.auth_details O analisador remove as chavetas, os parênteses retos e as aspas duplas do valor e antepõe AuthenticationDetails:.
properties.DeliveryAction additional.fields Mapeado com a chave DeliveryAction.
properties.DeliveryLocation additional.fields Mapeado com a chave DeliveryLocation.
properties.DestinationDeviceName target.hostname, target.asset.hostname O campo properties.DestinationDeviceName do registo não processado está mapeado para target.hostname e target.asset.hostname.
properties.DestinationIPAddress target.ip, target.asset.ip O campo properties.DestinationIPAddress do registo não processado está mapeado para target.ip e target.asset.ip.
properties.DestinationPort target.port O campo properties.DestinationPort do registo não processado está mapeado para target.port.
properties.DeviceName principal.hostname, principal.asset.hostname O campo properties.DeviceName do registo não processado está mapeado para principal.hostname e principal.asset.hostname.
properties.EmailClusterId additional.fields Mapeado com a chave EmailClusterId.
properties.EmailDirection network.direction Se o valor for Inbound, o campo UDM é definido como INBOUND. Se o valor for Outbound, o campo UDM é definido como OUTBOUND. Caso contrário, é definido como UNKNOWN_DIRECTION.
properties.EmailLanguage additional.fields Mapeado com a chave EmailLanguage.
properties.InitiatingProcessAccountDomain principal.administrative_domain O campo properties.InitiatingProcessAccountDomain do registo não processado está mapeado para principal.administrative_domain.
properties.InitiatingProcessAccountSid principal.user.windows_sid O campo properties.InitiatingProcessAccountSid do registo não processado está mapeado para principal.user.windows_sid.
properties.InitiatingProcessCommandLine principal.process.command_line O campo properties.InitiatingProcessCommandLine do registo não processado está mapeado para principal.process.command_line.
properties.InitiatingProcessFileName principal.process.file.full_path Usado em combinação com properties.InitiatingProcessFolderPath para construir o caminho completo. Se properties.InitiatingProcessFolderPath já contiver o nome do ficheiro, este é usado diretamente.
properties.InitiatingProcessFolderPath principal.process.file.full_path Usado em combinação com properties.InitiatingProcessFileName para construir o caminho completo.
properties.InitiatingProcessId principal.process.pid O campo properties.InitiatingProcessId do registo não processado está mapeado para principal.process.pid.
properties.InitiatingProcessIntegrityLevel about.labels Mapeado com a chave InitiatingProcessIntegrityLevel.
properties.InitiatingProcessMD5 principal.process.file.md5 O campo properties.InitiatingProcessMD5 do registo não processado está mapeado para principal.process.file.md5.
properties.InitiatingProcessParentId principal.process.parent_process.pid O campo properties.InitiatingProcessParentId do registo não processado está mapeado para principal.process.parent_process.pid.
properties.InitiatingProcessParentFileName principal.process.parent_process.file.full_path O campo properties.InitiatingProcessParentFileName do registo não processado está mapeado para principal.process.parent_process.file.full_path.
properties.InitiatingProcessSHA1 principal.process.file.sha1 O campo properties.InitiatingProcessSHA1 do registo não processado está mapeado para principal.process.file.sha1.
properties.InitiatingProcessSHA256 principal.process.file.sha256 O campo properties.InitiatingProcessSHA256 do registo não processado está mapeado para principal.process.file.sha256.
properties.InitiatingProcessTokenElevation about.labels Mapeado com a chave InitiatingProcessTokenElevation.
properties.InternetMessageId additional.fields O analisador remove os sinais de maior e menor, e mapeia o valor com a chave InternetMessageId.
properties.IPAddress principal.ip, principal.asset.ip O campo properties.IPAddress do registo não processado está mapeado para principal.ip e principal.asset.ip.
properties.LogonType extensions.auth.mechanism Usado para obter o valor de extensions.auth.mechanism.
properties.Port principal.port O campo properties.Port do registo não processado está mapeado para principal.port.
properties.PreviousRegistryKey src.registry.registry_key O campo properties.PreviousRegistryKey do registo não processado está mapeado para src.registry.registry_key.
properties.PreviousRegistryValueData src.registry.registry_value_data O campo properties.PreviousRegistryValueData do registo não processado está mapeado para src.registry.registry_value_data.
properties.PreviousRegistryValueName src.registry.registry_value_name O campo properties.PreviousRegistryValueName do registo não processado está mapeado para src.registry.registry_value_name.
properties.Query principal.user.attribute.labels Mapeado com a chave LDAP Search Scope.
properties.RecipientEmailAddress Não mapeado Este campo não está mapeado para o objeto IDM no UDM.
properties.RegistryKey target.registry.registry_key O campo properties.RegistryKey do registo não processado está mapeado para target.registry.registry_key.
properties.RegistryValueData target.registry.registry_value_data O campo properties.RegistryValueData do registo não processado está mapeado para target.registry.registry_value_data.
properties.RegistryValueName target.registry.registry_value_name O campo properties.RegistryValueName do registo não processado está mapeado para target.registry.registry_value_name.
properties.ReportId about.labels Mapeado com a chave ReportId.
properties.SenderIPv4 principal.ip, principal.asset.ip O campo properties.SenderIPv4 do registo não processado está mapeado para principal.ip e principal.asset.ip.
properties.SenderMailFromAddress principal.user.attribute.labels Mapeado com a chave SenderMailFromAddress.
properties.SenderMailFromDomain principal.user.attribute.labels Mapeado com a chave SenderMailFromDomain.
properties.SenderObjectId principal.user.product_object_id O campo properties.SenderObjectId do registo não processado está mapeado para principal.user.product_object_id.
properties.Timestamp metadata.event_timestamp O campo properties.Timestamp do registo não processado está mapeado para metadata.event_timestamp.
tenantId observer.cloud.project.id O campo tenantId do registo não processado está mapeado para observer.cloud.project.id.
N/A extensions.auth.type O valor MACHINE é atribuído pelo analisador.
N/A metadata.event_type Derivados com base nos campos category e properties.ActionType. Pode ser USER_LOGIN, USER_RESOURCE_ACCESS, USER_CHANGE_PASSWORD, REGISTRY_MODIFICATION, REGISTRY_DELETION, REGISTRY_CREATION, GENERIC_EVENT ou STATUS_UPDATE.
N/A metadata.vendor_name O valor Microsoft é atribuído pelo analisador.
N/A metadata.product_name O valor Microsoft Defender Identity é atribuído pelo analisador.
cs1 metadata.url_back_to_product O campo cs1 do registo não processado está mapeado para metadata.url_back_to_product.
externalId metadata.product_log_id O campo externalId do registo não processado está mapeado para metadata.product_log_id.
msg metadata.description O campo msg do registo não processado está mapeado para metadata.description.
rule_name security_result.rule_name O campo rule_name do registo não processado está mapeado para security_result.rule_name.
severity security_result.severity O campo severity do registo não processado está mapeado para security_result.severity.
shost principal.hostname, principal.asset.hostname O campo shost do registo não processado está mapeado para principal.hostname e principal.asset.hostname.
src principal.ip O campo src do registo não processado está mapeado para principal.ip.
suser principal.user.user_display_name O campo suser do registo não processado está mapeado para principal.user.user_display_name.
time metadata.event_timestamp O campo time do registo não processado está mapeado para metadata.event_timestamp.
userid principal.user.userid O campo userid do registo não processado está mapeado para principal.user.userid.
N/A security_result.action Derivado com base no campo properties.ActionType. Pode ser ALLOW ou BLOCK.
N/A security_result.summary Derivado do campo category ou do campo properties.ActionType.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.