收集 Microsoft Defender for Identity 日志

支持的语言:

本文档介绍了如何使用 Azure 存储将 Microsoft Defender for Identity 日志注入到 Google Security Operations。解析器会处理 JSON 日志,如果 JSON 解析失败,则会处理 CEF 格式的日志。它会提取字段,执行字符串转换、重命名和合并等数据转换,并将这些字段映射到统一数据模型 (UDM),从而处理各种日志格式,并使用标签和身份验证详细信息等其他上下文信息来丰富数据。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 有效的 Azure 租户
  • 对 Azure 的特权访问权限和管理安全角色

配置 Azure 存储账号

  1. 在 Azure 控制台中,搜索存储账号
  2. 点击创建
  3. 为以下输入参数指定值:
    • 订阅:选择相应订阅。
    • 资源组:选择资源组。
    • 区域:选择相应区域。
    • 性能:选择性能类型(建议选择标准)。
    • 冗余:选择冗余类型(建议选择 GRSLRS)。
    • 存储账号名称:输入新存储账号的名称。
  4. 点击 Review + create(检查 + 创建)。
  5. 查看账号概览,然后点击创建
  6. 在存储账号的概览页面上,依次选择安全性 + 网络中的子菜单访问密钥
  7. 点击 key1key2 旁边的显示
  8. 点击复制到剪贴板以复制密钥。
  9. 将密钥保存在安全的位置,以供日后参考。
  10. 在存储账号的概览页面中,选择设置中的子菜单终结点
  11. 点击复制到剪贴板,复制 Blob 服务端点网址。(例如:https://<storageaccountname>.blob.core.windows.net)。
  12. 将端点网址保存在安全的位置,以供日后参考。
  13. 前往概览 > JSON 视图
  14. 复制并保存存储空间资源 ID

为 Microsoft Defender for Identity 配置日志导出

  1. 使用特权账号登录 Defender 门户
  2. 转到设置
  3. 选择 Microsoft Defender XDR 标签页。
  4. 从“常规”部分中选择 Streaming API,然后点击添加
  5. 选择将事件转发到 Azure 存储空间
  6. 提供以下配置详细信息:
    • 名称:输入一个具有唯一性的有意义的名称。
    • 选择将事件转发到 Azure 存储空间
    • 存储账号资源 ID:输入之前复制的 Azure 存储资源 ID。
    • 事件类型:同时选择提醒和行为以及设备
  7. 点击提交

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Defender Identity Logs)。
  5. 选择 Microsoft Azure Blob Storage 作为来源类型
  6. 选择 Microsoft Defender for Identity 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • Azure URI:Blob 端点网址。

      ENDPOINT_URL/BLOB_NAME

      替换以下内容:

      • ENDPOINT_URL:Blob 端点网址。(https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME:blob 的名称。(例如,insights-logs-<logname>

    • URI is a:根据日志流配置选择(单个文件 | 目录 | 包含子目录的目录)。

    • 来源删除选项:根据您的偏好设置选择删除选项。

    • 共享密钥:Azure Blob Storage 的访问密钥。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • Azure URI:Blob 端点网址。

    ENDPOINT_URL/BLOB_NAME

    替换以下内容:

    • ENDPOINT_URL:Blob 端点网址。(https://<storageaccountname>.blob.core.windows.net)
    • BLOB_NAME:blob 的名称。(例如,insights-logs-<logname>
    • URI is a:根据日志流配置选择(单个文件 | 目录 | 包含子目录的目录)。
    • 来源删除选项:根据您的偏好设置选择删除选项。

  • 共享密钥:Azure Blob Storage 的访问密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
category metadata.log_type 原始日志 category 字段映射到 metadata.log_type
properties.AccountDisplayName 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AccountName 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AccountUpn 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.ActionType metadata.product_event_type 原始日志 properties.ActionType 字段映射到 metadata.product_event_type
properties.AdditionalFields.ACTOR.ACCOUNT 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.ACTOR.DEVICE principal.asset.asset_id 解析器提取 properties.AdditionalFields.ACTOR.DEVICE 的值,并在前面添加 ASSET ID:
properties.AdditionalFields.ACTOR.ENTITY_USER 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.Count 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.DestinationComputerDnsName 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.DestinationComputerObjectGuid target.asset.product_object_id 数组 properties.AdditionalFields.DestinationComputerObjectGuid 的第一个元素映射到 target.asset.product_object_id。后续元素会映射到 additional.fields,键为 DestinationComputerObjectGuid_1DestinationComputerObjectGuid_2 等。
properties.AdditionalFields.DestinationComputerOperatingSystem target.asset.platform_software.platform_version 数组 properties.AdditionalFields.DestinationComputerOperatingSystem 的第一个元素映射到 target.asset.platform_software.platform_version。后续元素会映射到 additional.fields,键为 DestinationComputerOperatingSystem_1DestinationComputerOperatingSystem_2 等。
properties.AdditionalFields.DestinationComputerOperatingSystemType target.asset.platform_software.platform 如果值为 windows,则 UDM 字段设置为 WINDOWS
properties.AdditionalFields.DestinationComputerOperatingSystemVersion target.platform_version 数组 properties.AdditionalFields.DestinationComputerOperatingSystemVersion 的第一个元素映射到 target.platform_version。后续元素会映射到 additional.fields,键为 DestinationComputerOperatingSystemVersion1DestinationComputerOperatingSystemVersion2 等。
properties.AdditionalFields.FROM.DEVICE principal.asset.asset_id 解析器提取 properties.AdditionalFields.FROM.DEVICE 的值,并在前面添加 ASSET ID:
properties.AdditionalFields.KerberosDelegationType 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.SourceAccountId 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.SourceAccountSid 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.SourceComputerObjectGuid principal.asset.product_object_id 原始日志 properties.AdditionalFields.SourceComputerObjectGuid 字段映射到 principal.asset.product_object_id
properties.AdditionalFields.SourceComputerOperatingSystem principal.asset.platform_software.platform_version 原始日志 properties.AdditionalFields.SourceComputerOperatingSystem 字段映射到 principal.asset.platform_software.platform_version
properties.AdditionalFields.SourceComputerOperatingSystemType principal.asset.platform_software.platform_version 如果值为 windows,则 UDM 字段设置为 WINDOWS
properties.AdditionalFields.SourceComputerOperatingSystemVersion 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.Spns 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.AdditionalFields.TARGET_OBJECT.USER target.user.userid 数组 properties.AdditionalFields.TARGET_OBJECT.USER 的第一个元素映射到 target.user.userid。后续元素会映射到 additional.fields,键为 TARGET_OBJECT.USER_1TARGET_OBJECT.USER_2 等。
properties.AdditionalFields.TO.DEVICE target.asset.asset_id 数组 properties.AdditionalFields.TO.DEVICE 的第一个元素会映射到 target.asset.asset_id,并预先添加 ASSET ID:。后续元素会映射到 additional.fields,键为 TODEVICE1TODEVICE2 等。
properties.AuthenticationDetails extensions.auth.auth_details 解析器会从值中移除大括号、方括号和双引号,并在前面添加 AuthenticationDetails:
properties.DeliveryAction additional.fields 已映射,键为 DeliveryAction
properties.DeliveryLocation additional.fields 已映射,键为 DeliveryLocation
properties.DestinationDeviceName target.hostnametarget.asset.hostname 原始日志 properties.DestinationDeviceName 字段会同时映射到 target.hostnametarget.asset.hostname
properties.DestinationIPAddress target.iptarget.asset.ip 原始日志 properties.DestinationIPAddress 字段会同时映射到 target.iptarget.asset.ip
properties.DestinationPort target.port 原始日志 properties.DestinationPort 字段映射到 target.port
properties.DeviceName principal.hostnameprincipal.asset.hostname 原始日志 properties.DeviceName 字段会同时映射到 principal.hostnameprincipal.asset.hostname
properties.EmailClusterId additional.fields 已映射,键为 EmailClusterId
properties.EmailDirection network.direction 如果值为 Inbound,则 UDM 字段设置为 INBOUND。如果值为 Outbound,则 UDM 字段设置为 OUTBOUND。否则,该值会设置为 UNKNOWN_DIRECTION
properties.EmailLanguage additional.fields 已映射,键为 EmailLanguage
properties.InitiatingProcessAccountDomain principal.administrative_domain 原始日志 properties.InitiatingProcessAccountDomain 字段映射到 principal.administrative_domain
properties.InitiatingProcessAccountSid principal.user.windows_sid 原始日志 properties.InitiatingProcessAccountSid 字段映射到 principal.user.windows_sid
properties.InitiatingProcessCommandLine principal.process.command_line 原始日志 properties.InitiatingProcessCommandLine 字段映射到 principal.process.command_line
properties.InitiatingProcessFileName principal.process.file.full_path properties.InitiatingProcessFolderPath 结合使用以构建完整路径。如果 properties.InitiatingProcessFolderPath 已包含文件名,则直接使用。
properties.InitiatingProcessFolderPath principal.process.file.full_path properties.InitiatingProcessFileName 结合使用以构建完整路径。
properties.InitiatingProcessId principal.process.pid 原始日志 properties.InitiatingProcessId 字段映射到 principal.process.pid
properties.InitiatingProcessIntegrityLevel about.labels 已映射,键为 InitiatingProcessIntegrityLevel
properties.InitiatingProcessMD5 principal.process.file.md5 原始日志 properties.InitiatingProcessMD5 字段映射到 principal.process.file.md5
properties.InitiatingProcessParentId principal.process.parent_process.pid 原始日志 properties.InitiatingProcessParentId 字段映射到 principal.process.parent_process.pid
properties.InitiatingProcessParentFileName principal.process.parent_process.file.full_path 原始日志 properties.InitiatingProcessParentFileName 字段映射到 principal.process.parent_process.file.full_path
properties.InitiatingProcessSHA1 principal.process.file.sha1 原始日志 properties.InitiatingProcessSHA1 字段映射到 principal.process.file.sha1
properties.InitiatingProcessSHA256 principal.process.file.sha256 原始日志 properties.InitiatingProcessSHA256 字段映射到 principal.process.file.sha256
properties.InitiatingProcessTokenElevation about.labels 已映射,键为 InitiatingProcessTokenElevation
properties.InternetMessageId additional.fields 解析器会移除尖括号,并将值与键 InternetMessageId 进行映射。
properties.IPAddress principal.ipprincipal.asset.ip 原始日志 properties.IPAddress 字段会同时映射到 principal.ipprincipal.asset.ip
properties.LogonType extensions.auth.mechanism 用于推导 extensions.auth.mechanism 的值。
properties.Port principal.port 原始日志 properties.Port 字段映射到 principal.port
properties.PreviousRegistryKey src.registry.registry_key 原始日志 properties.PreviousRegistryKey 字段映射到 src.registry.registry_key
properties.PreviousRegistryValueData src.registry.registry_value_data 原始日志 properties.PreviousRegistryValueData 字段映射到 src.registry.registry_value_data
properties.PreviousRegistryValueName src.registry.registry_value_name 原始日志 properties.PreviousRegistryValueName 字段映射到 src.registry.registry_value_name
properties.Query principal.user.attribute.labels 已映射,键为 LDAP Search Scope
properties.RecipientEmailAddress 未映射 此字段未映射到 UDM 中的 IDM 对象。
properties.RegistryKey target.registry.registry_key 原始日志 properties.RegistryKey 字段映射到 target.registry.registry_key
properties.RegistryValueData target.registry.registry_value_data 原始日志 properties.RegistryValueData 字段映射到 target.registry.registry_value_data
properties.RegistryValueName target.registry.registry_value_name 原始日志 properties.RegistryValueName 字段映射到 target.registry.registry_value_name
properties.ReportId about.labels 已映射,键为 ReportId
properties.SenderIPv4 principal.ipprincipal.asset.ip 原始日志 properties.SenderIPv4 字段会同时映射到 principal.ipprincipal.asset.ip
properties.SenderMailFromAddress principal.user.attribute.labels 已映射,键为 SenderMailFromAddress
properties.SenderMailFromDomain principal.user.attribute.labels 已映射,键为 SenderMailFromDomain
properties.SenderObjectId principal.user.product_object_id 原始日志 properties.SenderObjectId 字段映射到 principal.user.product_object_id
properties.Timestamp metadata.event_timestamp 原始日志 properties.Timestamp 字段映射到 metadata.event_timestamp
tenantId observer.cloud.project.id 原始日志 tenantId 字段映射到 observer.cloud.project.id
不适用 extensions.auth.type MACHINE 由解析器分配。
不适用 metadata.event_type 根据 categoryproperties.ActionType 字段派生。可以是 USER_LOGINUSER_RESOURCE_ACCESSUSER_CHANGE_PASSWORDREGISTRY_MODIFICATIONREGISTRY_DELETIONREGISTRY_CREATIONGENERIC_EVENTSTATUS_UPDATE
不适用 metadata.vendor_name Microsoft 由解析器分配。
不适用 metadata.product_name Microsoft Defender Identity 由解析器分配。
cs1 metadata.url_back_to_product 原始日志 cs1 字段映射到 metadata.url_back_to_product
externalId metadata.product_log_id 原始日志 externalId 字段映射到 metadata.product_log_id
msg metadata.description 原始日志 msg 字段映射到 metadata.description
rule_name security_result.rule_name 原始日志 rule_name 字段映射到 security_result.rule_name
severity security_result.severity 原始日志 severity 字段映射到 security_result.severity
shost principal.hostnameprincipal.asset.hostname 原始日志 shost 字段会同时映射到 principal.hostnameprincipal.asset.hostname
src principal.ip 原始日志 src 字段映射到 principal.ip
suser principal.user.user_display_name 原始日志 suser 字段映射到 principal.user.user_display_name
time metadata.event_timestamp 原始日志 time 字段映射到 metadata.event_timestamp
userid principal.user.userid 原始日志 userid 字段映射到 principal.user.userid
不适用 security_result.action 根据 properties.ActionType 字段派生。可以是 ALLOWBLOCK
不适用 security_result.summary 派生自 category 字段或 properties.ActionType 字段。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。