本頁面由 Cloud Translation API 翻譯而成。

收集 Microsoft Defender for Identity 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Azure 儲存空間，將 Microsoft Defender for Identity 記錄檔擷取至 Google Security Operations。如果 JSON 剖析失敗，剖析器會處理 JSON 記錄或 CEF 格式的記錄。這項服務會擷取欄位、執行字串轉換、重新命名及合併等資料轉換作業，並將資料對應至統合式資料模型 (UDM)，處理各種記錄格式，以及使用標籤和驗證詳細資料等額外內容來擴充資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
有效的 Azure 租用戶
Azure 的特殊權限存取權和管理員安全角色

設定 Azure 儲存體帳戶

在 Azure 控制台中，搜尋「Storage accounts」(儲存體帳戶)。
點選「建立」。
指定下列輸入參數的值：
- 「訂閱」：選取訂閱方案。
- 資源群組：選取資源群組。
- Region (區域)：選取區域。
- 效能：選取效能類型 (建議選取「標準」)。
- 備援：選取備援類型 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」：輸入新儲存體帳戶的名稱。
按一下「Review + create」。
查看帳戶總覽，然後按一下「建立」。
在儲存空間帳戶的「總覽」頁面中，選取「安全性 + 網路」中的「存取金鑰」子選單。
按一下「key1」或「key2」旁邊的「顯示」。
按一下「複製到剪貼簿」即可複製金鑰。
將金鑰儲存於安全的位置，以供日後參考。
在儲存體帳戶的「總覽」頁面中，選取「設定」中的「端點」子選單。
按一下「複製到剪貼簿」，複製 Blob 服務端點網址。例如 https://<storageaccountname>.blob.core.windows.net。
將端點網址儲存在安全的位置，以供日後參考。
依序前往「總覽」>「JSON 檢視畫面」。
複製並儲存 Storage Resource ID。

設定 Microsoft Defender for Identity 的記錄匯出功能

使用具備權限的帳戶登入 Defender 入口網站。
前往 [設定]。
選取「Microsoft Defender XDR」分頁標籤。
從一般部分選取「Streaming API」，然後按一下「新增」。
選取「將事件轉送至 Azure 儲存空間」。
提供下列設定詳細資料：
- 名稱：輸入不重複且有意義的名稱。
- 選取「將事件轉送至 Azure 儲存空間」。
- 儲存體帳戶資源 ID：輸入先前複製的 Azure 儲存體資源 ID。
- 事件類型：選取「快訊和行為」和「裝置」。
按一下「提交」。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

「SIEM 設定」>「動態消息」
內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱 (例如「Defender Identity Logs」)。
選取「Microsoft Azure Blob Storage」做為「來源類型」。
選取「Microsoft Defender for Identity」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- Azure URI：Blob 端點網址。
  
  ENDPOINT_URL/BLOB_NAME
  
  更改下列內容：
  - ENDPOINT_URL：Blob 端點網址。(https://<storageaccountname>.blob.core.windows.net)
  - BLOB_NAME：Blob 的名稱。(例如 insights-logs-<logname>)
- URI 為：根據記錄串流設定選取 (單一檔案 | 目錄 | 包含子目錄的目錄)。
- 來源刪除選項：根據偏好設定選取刪除選項。
注意： 如果選取「刪除已轉移的檔案」或「刪除已轉移的檔案和空白目錄」選項，請務必授予服務帳戶適當的權限。
- 共用金鑰：Azure Blob 儲存體的存取金鑰。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

Azure URI：Blob 端點網址。

ENDPOINT_URL/BLOB_NAME

更改下列內容：
- ENDPOINT_URL：Blob 端點網址。(https://<storageaccountname>.blob.core.windows.net)
- BLOB_NAME：Blob 的名稱。(例如 insights-logs-<logname>)
- URI 為：根據記錄串流設定選取 (單一檔案 | 目錄 | 包含子目錄的目錄)。
- 來源刪除選項：根據偏好設定選取刪除選項。
注意： 如果選取「刪除已轉移的檔案」或「刪除已轉移的檔案和空白目錄」選項，請務必授予服務帳戶適當的權限。
共用金鑰：Azure Blob 儲存體的存取金鑰。

進階選項

動態饋給名稱：系統預先填入的值，用於識別動態饋給。
來源類型：將記錄收集到 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
擷取標籤：套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`category`	`metadata.log_type`	原始記錄 `category` 欄位會對應至 `metadata.log_type`。
`properties.AccountDisplayName`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AccountName`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AccountUpn`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.ActionType`	`metadata.product_event_type`	原始記錄 `properties.ActionType` 欄位會對應至 `metadata.product_event_type`。
`properties.AdditionalFields.ACTOR.ACCOUNT`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.ACTOR.DEVICE`	`principal.asset.asset_id`	剖析器會擷取 `properties.AdditionalFields.ACTOR.DEVICE` 的值，並在前面加上 `ASSET ID:`。
`properties.AdditionalFields.ACTOR.ENTITY_USER`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.Count`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.DestinationComputerDnsName`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.DestinationComputerObjectGuid`	`target.asset.product_object_id`	陣列 `properties.AdditionalFields.DestinationComputerObjectGuid` 的第一個元素會對應至 `target.asset.product_object_id`。後續元素會對應至 `additional.fields`，並使用 `DestinationComputerObjectGuid_1`、`DestinationComputerObjectGuid_2` 等鍵。
`properties.AdditionalFields.DestinationComputerOperatingSystem`	`target.asset.platform_software.platform_version`	陣列 `properties.AdditionalFields.DestinationComputerOperatingSystem` 的第一個元素會對應至 `target.asset.platform_software.platform_version`。後續元素會對應至 `additional.fields`，並使用 `DestinationComputerOperatingSystem_1`、`DestinationComputerOperatingSystem_2` 等鍵。
`properties.AdditionalFields.DestinationComputerOperatingSystemType`	`target.asset.platform_software.platform`	如果值為 `windows`，UDM 欄位會設為 `WINDOWS`。
`properties.AdditionalFields.DestinationComputerOperatingSystemVersion`	`target.platform_version`	陣列 `properties.AdditionalFields.DestinationComputerOperatingSystemVersion` 的第一個元素會對應至 `target.platform_version`。後續元素會對應至 `additional.fields`，並使用 `DestinationComputerOperatingSystemVersion1`、`DestinationComputerOperatingSystemVersion2` 等鍵。
`properties.AdditionalFields.FROM.DEVICE`	`principal.asset.asset_id`	剖析器會擷取 `properties.AdditionalFields.FROM.DEVICE` 的值，並在前面加上 `ASSET ID:`。
`properties.AdditionalFields.KerberosDelegationType`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.SourceAccountId`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.SourceAccountSid`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.SourceComputerObjectGuid`	`principal.asset.product_object_id`	原始記錄 `properties.AdditionalFields.SourceComputerObjectGuid` 欄位會對應至 `principal.asset.product_object_id`。
`properties.AdditionalFields.SourceComputerOperatingSystem`	`principal.asset.platform_software.platform_version`	原始記錄 `properties.AdditionalFields.SourceComputerOperatingSystem` 欄位會對應至 `principal.asset.platform_software.platform_version`。
`properties.AdditionalFields.SourceComputerOperatingSystemType`	`principal.asset.platform_software.platform_version`	如果值為 `windows`，UDM 欄位會設為 `WINDOWS`。
`properties.AdditionalFields.SourceComputerOperatingSystemVersion`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.Spns`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.AdditionalFields.TARGET_OBJECT.USER`	`target.user.userid`	陣列 `properties.AdditionalFields.TARGET_OBJECT.USER` 的第一個元素會對應至 `target.user.userid`。後續元素會對應至 `additional.fields`，並使用 `TARGET_OBJECT.USER_1`、`TARGET_OBJECT.USER_2` 等鍵。
`properties.AdditionalFields.TO.DEVICE`	`target.asset.asset_id`	陣列 `properties.AdditionalFields.TO.DEVICE` 的第一個元素會對應至 `target.asset.asset_id`，並加上 `ASSET ID:` 前置字元。後續元素會對應至 `additional.fields`，並使用 `TODEVICE1`、`TODEVICE2` 等鍵。
`properties.AuthenticationDetails`	`extensions.auth.auth_details`	剖析器會從值中移除大括號、方括號和雙引號，並在前面加上 `AuthenticationDetails:`。
`properties.DeliveryAction`	`additional.fields`	已對應至金鑰 `DeliveryAction`。
`properties.DeliveryLocation`	`additional.fields`	已對應至金鑰 `DeliveryLocation`。
`properties.DestinationDeviceName`	`target.hostname`、`target.asset.hostname`	原始記錄 `properties.DestinationDeviceName` 欄位會對應至 `target.hostname` 和 `target.asset.hostname`。
`properties.DestinationIPAddress`	`target.ip`、`target.asset.ip`	原始記錄 `properties.DestinationIPAddress` 欄位會對應至 `target.ip` 和 `target.asset.ip`。
`properties.DestinationPort`	`target.port`	原始記錄 `properties.DestinationPort` 欄位會對應至 `target.port`。
`properties.DeviceName`	`principal.hostname`、`principal.asset.hostname`	原始記錄 `properties.DeviceName` 欄位會對應至 `principal.hostname` 和 `principal.asset.hostname`。
`properties.EmailClusterId`	`additional.fields`	已對應至金鑰 `EmailClusterId`。
`properties.EmailDirection`	`network.direction`	如果值為 `Inbound`，UDM 欄位會設為 `INBOUND`。如果值為 `Outbound`，UDM 欄位會設為 `OUTBOUND`。否則會設為 `UNKNOWN_DIRECTION`。
`properties.EmailLanguage`	`additional.fields`	已對應至金鑰 `EmailLanguage`。
`properties.InitiatingProcessAccountDomain`	`principal.administrative_domain`	原始記錄 `properties.InitiatingProcessAccountDomain` 欄位會對應至 `principal.administrative_domain`。
`properties.InitiatingProcessAccountSid`	`principal.user.windows_sid`	原始記錄 `properties.InitiatingProcessAccountSid` 欄位會對應至 `principal.user.windows_sid`。
`properties.InitiatingProcessCommandLine`	`principal.process.command_line`	原始記錄 `properties.InitiatingProcessCommandLine` 欄位會對應至 `principal.process.command_line`。
`properties.InitiatingProcessFileName`	`principal.process.file.full_path`	與 `properties.InitiatingProcessFolderPath` 搭配使用，建構完整路徑。如果 `properties.InitiatingProcessFolderPath` 已包含檔案名稱，系統會直接使用。
`properties.InitiatingProcessFolderPath`	`principal.process.file.full_path`	與 `properties.InitiatingProcessFileName` 搭配使用，建構完整路徑。
`properties.InitiatingProcessId`	`principal.process.pid`	原始記錄 `properties.InitiatingProcessId` 欄位會對應至 `principal.process.pid`。
`properties.InitiatingProcessIntegrityLevel`	`about.labels`	已對應至金鑰 `InitiatingProcessIntegrityLevel`。
`properties.InitiatingProcessMD5`	`principal.process.file.md5`	原始記錄 `properties.InitiatingProcessMD5` 欄位會對應至 `principal.process.file.md5`。
`properties.InitiatingProcessParentId`	`principal.process.parent_process.pid`	原始記錄 `properties.InitiatingProcessParentId` 欄位會對應至 `principal.process.parent_process.pid`。
`properties.InitiatingProcessParentFileName`	`principal.process.parent_process.file.full_path`	原始記錄 `properties.InitiatingProcessParentFileName` 欄位會對應至 `principal.process.parent_process.file.full_path`。
`properties.InitiatingProcessSHA1`	`principal.process.file.sha1`	原始記錄 `properties.InitiatingProcessSHA1` 欄位會對應至 `principal.process.file.sha1`。
`properties.InitiatingProcessSHA256`	`principal.process.file.sha256`	原始記錄 `properties.InitiatingProcessSHA256` 欄位會對應至 `principal.process.file.sha256`。
`properties.InitiatingProcessTokenElevation`	`about.labels`	已對應至金鑰 `InitiatingProcessTokenElevation`。
`properties.InternetMessageId`	`additional.fields`	剖析器會移除角括號，並將值對應至索引鍵 `InternetMessageId`。
`properties.IPAddress`	`principal.ip`、`principal.asset.ip`	原始記錄 `properties.IPAddress` 欄位會對應至 `principal.ip` 和 `principal.asset.ip`。
`properties.LogonType`	`extensions.auth.mechanism`	用於衍生 `extensions.auth.mechanism` 的值。
`properties.Port`	`principal.port`	原始記錄 `properties.Port` 欄位會對應至 `principal.port`。
`properties.PreviousRegistryKey`	`src.registry.registry_key`	原始記錄 `properties.PreviousRegistryKey` 欄位會對應至 `src.registry.registry_key`。
`properties.PreviousRegistryValueData`	`src.registry.registry_value_data`	原始記錄 `properties.PreviousRegistryValueData` 欄位會對應至 `src.registry.registry_value_data`。
`properties.PreviousRegistryValueName`	`src.registry.registry_value_name`	原始記錄 `properties.PreviousRegistryValueName` 欄位會對應至 `src.registry.registry_value_name`。
`properties.Query`	`principal.user.attribute.labels`	已對應至金鑰 `LDAP Search Scope`。
`properties.RecipientEmailAddress`	未對應	這個欄位不會對應至 UDM 中的 IDM 物件。
`properties.RegistryKey`	`target.registry.registry_key`	原始記錄 `properties.RegistryKey` 欄位會對應至 `target.registry.registry_key`。
`properties.RegistryValueData`	`target.registry.registry_value_data`	原始記錄 `properties.RegistryValueData` 欄位會對應至 `target.registry.registry_value_data`。
`properties.RegistryValueName`	`target.registry.registry_value_name`	原始記錄 `properties.RegistryValueName` 欄位會對應至 `target.registry.registry_value_name`。
`properties.ReportId`	`about.labels`	已對應至金鑰 `ReportId`。
`properties.SenderIPv4`	`principal.ip`、`principal.asset.ip`	原始記錄 `properties.SenderIPv4` 欄位會對應至 `principal.ip` 和 `principal.asset.ip`。
`properties.SenderMailFromAddress`	`principal.user.attribute.labels`	已對應至金鑰 `SenderMailFromAddress`。
`properties.SenderMailFromDomain`	`principal.user.attribute.labels`	已對應至金鑰 `SenderMailFromDomain`。
`properties.SenderObjectId`	`principal.user.product_object_id`	原始記錄 `properties.SenderObjectId` 欄位會對應至 `principal.user.product_object_id`。
`properties.Timestamp`	`metadata.event_timestamp`	原始記錄 `properties.Timestamp` 欄位會對應至 `metadata.event_timestamp`。
`tenantId`	`observer.cloud.project.id`	原始記錄 `tenantId` 欄位會對應至 `observer.cloud.project.id`。
不適用	`extensions.auth.type`	剖析器會指派 `MACHINE` 值。
不適用	`metadata.event_type`	根據 `category` 和 `properties.ActionType` 欄位衍生而來。可以是 `USER_LOGIN`、`USER_RESOURCE_ACCESS`、`USER_CHANGE_PASSWORD`、`REGISTRY_MODIFICATION`、`REGISTRY_DELETION`、`REGISTRY_CREATION`、`GENERIC_EVENT` 或 `STATUS_UPDATE`。
不適用	`metadata.vendor_name`	剖析器會指派 `Microsoft` 值。
不適用	`metadata.product_name`	剖析器會指派 `Microsoft Defender Identity` 值。
`cs1`	`metadata.url_back_to_product`	原始記錄 `cs1` 欄位會對應至 `metadata.url_back_to_product`。
`externalId`	`metadata.product_log_id`	原始記錄 `externalId` 欄位會對應至 `metadata.product_log_id`。
`msg`	`metadata.description`	原始記錄 `msg` 欄位會對應至 `metadata.description`。
`rule_name`	`security_result.rule_name`	原始記錄 `rule_name` 欄位會對應至 `security_result.rule_name`。
`severity`	`security_result.severity`	原始記錄 `severity` 欄位會對應至 `security_result.severity`。
`shost`	`principal.hostname`、`principal.asset.hostname`	原始記錄 `shost` 欄位會對應至 `principal.hostname` 和 `principal.asset.hostname`。
`src`	`principal.ip`	原始記錄 `src` 欄位會對應至 `principal.ip`。
`suser`	`principal.user.user_display_name`	原始記錄 `suser` 欄位會對應至 `principal.user.user_display_name`。
`time`	`metadata.event_timestamp`	原始記錄 `time` 欄位會對應至 `metadata.event_timestamp`。
`userid`	`principal.user.userid`	原始記錄 `userid` 欄位會對應至 `principal.user.userid`。
不適用	`security_result.action`	根據 `properties.ActionType` 欄位衍生而來。可以是 `ALLOW` 或 `BLOCK`。
不適用	`security_result.summary`	衍生自 `category` 欄位或 `properties.ActionType` 欄位。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。