收集 Microsoft Windows Defender ATP 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Azure 存储账号将 Microsoft Windows Defender ATP 日志收集到 Google Security Operations。此解析器可处理 Windows Defender ATP 以 SYSLOG、XML 和 JSON 格式提供的日志。它会将这些格式中的各种字段标准化为统一的结构,提取事件详细信息、用户数据、进程信息、网络活动和安全结果等关键信息,并将这些信息映射到 UDM。解析器还会根据 EventID 和 ActionType 执行条件逻辑,以对事件进行分类,并使用与每种事件类型相关的特定详细信息来丰富 UDM。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有有效的 Azure 订阅。
- 确保您拥有全局管理员或 Microsoft Defender 高级威胁搜寻角色。
- 登录到您的 Azure 租户,依次前往订阅> 您的订阅> 资源提供程序> 注册到 Microsoft.Insights。
配置 Azure 存储账号
- 在 Azure 控制台中,搜索“存储账号”。
- 点击创建。
- 为以下输入参数指定值:
- 订阅:选择相应订阅。
- 资源组:选择资源组。
- 区域:选择相应区域。
- 性能:选择性能(建议选择“标准”)。
- 冗余:选择冗余(建议使用 GRS 或 LRS)。
- 存储账号名称:输入新存储账号的名称。
- 点击 Review + create(检查 + 创建)。
- 查看账号概览,然后点击创建。
- 在存储账号概览页面上,从安全性 + 网络中选择子菜单访问密钥。
- 点击 key1 或 key2 旁边的显示
- 点击复制到剪贴板以复制密钥。
- 将密钥保存在安全的位置,以供日后使用。
- 在存储账号概览页面中,选择设置中的子菜单终结点。
- 点击复制到剪贴板,复制 Blob 服务端点网址;例如,
https://<storageaccountname>.blob.core.windows.net。 - 将端点网址保存在安全的位置,以供日后使用。
配置 Windows Defender 高级威胁搜寻日志导出
- 以全局管理员或安全管理员身份登录 security.microsoft.com。
- 依次前往设置 > Microsoft Defender XDR。
- 选择 Streaming API。
- 点击添加。
- 选择将事件转发到 Azure 存储空间。
- 前往之前创建的存储账号。
- 复制资源 ID,然后将其输入到存储账号资源 ID 中。
- 选择所有活动类型。
- 点击保存。
在 Google SecOps 中配置 Feed 以注入 Windows Defender 高级威胁搜寻日志
- 依次前往 SIEM 设置> Feed。
- 点击新增。
- 在Feed name(Feed 名称)字段中,输入 Feed 的名称,例如
Defender ATP Logs。 - 选择 Microsoft Azure Blob Storage 作为来源类型。
- 选择 Windows Defender ATP 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- Azure URI:Blob 端点网址。
ENDPOINT_URL/BLOB_NAME- 替换以下内容:
ENDPOINT_URL:Blob 端点网址 (https://<storageaccountname>.blob.core.windows.net)。BLOB_NAME:blob 的名称,例如<logname>-logs。
- URI is a:根据日志流配置选择 URI_TYPE(Single file | Directory | Directory which includes subdirectories)。
来源删除选项:根据您的偏好设置选择删除选项。
共享密钥:Azure Blob Storage 的访问密钥。
资源命名空间:资源命名空间。
注入标签:要应用于此 Feed 中事件的标签。
- Azure URI:Blob 端点网址。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
AccountName |
target.user.userid |
当存在 properties.AccountName 且 properties.InitiatingProcessAccountName 为空白时填充。 |
AccountSid |
target.user.windows_sid |
当存在 properties.AccountSid 时填充。 |
AccountType |
principal.user.attribute.labels |
键:AccountType,值:properties.AccountType |
Action |
security_result.action_details |
properties.Action 的值。 |
Action |
security_result.action |
如果 properties.Action 包含 quarantine,则该值为 QUARANTINE。 |
Action Name |
security_result.description |
当 EventID 为 1117 时,security_result.description 的一部分。 |
AdditionalFields |
about.labels,principal.resource.attribute.labels |
键:AdditionalFields,值:properties.AdditionalFields(如果解析为 JSON,则为 AdditionalFields)。properties.AdditionalFields(如果解析为 JSON,则为 AdditionalFields2)中的各个键值对也会添加为标签。 |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
键:ClientMachine,值:_AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
当 ActionType 为 PowerShellCommand 时使用。 |
AdditionalFields.Count |
read_only_udm.additional.fields |
键:Count,值:properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
键:DesiredAccess,值:_AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
当 ActionType 为 DnsQueryResponse 时使用。 |
AdditionalFields.DnsQueryResult |
network.dns.answers |
在循环内解析以提取 DNS 答案。Result 变为 name,DnsQueryType 映射到数字 type。 |
AdditionalFields.Experience |
security_result.threat_name |
当 properties.ActionType 包含 SmartScreen 时使用。 |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
键:FileOperation,值:_AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
键:InitiatingProcess,值:_AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
键:IsAudit,值:_AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
如果值为 true,则将 auth_mechanism 设置为 LOCAL。如果为 false,则设置为 REMOTE。 |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
键:IsRemoteMachine,值:_AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
键:NamedPipeEnd,值:_AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
键:PipeName,值:_AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
键:RemoteClientsAccess,值:_AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
键:SessionId,值:_AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
当 properties.ActionType 为 AntivirusDetection 时使用。 |
AdditionalFields.TaskName |
target.resource.name |
当 properties.ActionType 包含 Scheduled 时使用。 |
AdditionalFields.ThreatName |
security_result.threat_name |
当 properties.ActionType 为 AntivirusDetection 时使用。 |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
键:ThreadId,值:_AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
键:TokenModificationProperties,值:_AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
键:TotalBytesCopied,值:_AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels,principal.resource.attribute.labels |
键:WasExecutingWhileDetected,值:_AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
如果值为 true,则将 sr_action 设置为 BLOCK。如果为 false,则设置为 ALLOW。 |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
键:ApplicationId,值:properties.ApplicationId |
category |
metadata.product_name |
category 的值。 |
category |
metadata.product_event_type |
移除了 AdvancedHunting- 的 category 的值。 |
City |
principal.location.city |
properties.City 的值。 |
ClientIP |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIP 的值(如果它是有效的 IP 地址)。 |
ClientIPAddress |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIPAddress 的值(如果它是有效的 IP 地址)。 |
ClientInfoString |
read_only_udm.additional.fields |
键:ClientInfoString,值:properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
键:ClientProcessName,值:properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
键:ClientRequestId,值:properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
键:ClientVersion,值:properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
ConnectedNetworks 中的 Name 字段(如果有)。 |
CountryCode |
principal.location.country_or_region |
properties.CountryCode 的值。 |
CreationTime |
read_only_udm.additional.fields |
键:CreationTime,值:properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
当 EventID 为 2000 时,属于 security_result.description 的一部分。 |
Current Signature Version |
security_result.description |
当 EventID 为 2000 时,属于 security_result.description 的一部分。 |
DeliveryAction |
read_only_udm.additional.fields |
键:DeliveryAction,值:properties.DeliveryAction |
DeliveryAction |
security_result.action |
如果 properties.DeliveryAction 包含 Blocked,则该值为 BLOCK。 |
DeliveryLocation |
read_only_udm.additional.fields |
键:DeliveryLocation,值:properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
键:DestinationLocationType,值:properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name,security_result.detection_fields |
不带引号的 properties.DetectionMethods 值将同时成为 rule_name 和 detection_fields(键:Detection Method)。 |
Detection User |
principal.user.userid |
当 EventID 为 1116 或 1117 时使用。 |
DeviceCategory |
entity.asset.category |
properties.DeviceCategory 的值。 |
DeviceId |
principal.asset_id |
解析 syslog/JSON 或 XML 时,WINDOWS_DEFENDER: + DeviceId。解析 JSON 时出现 DeviceId: + properties.DeviceId。 |
DeviceName |
principal.hostname,principal.asset.hostname |
DeviceName(解析 syslog/JSON 或 XML 时)。解析 JSON 时出现 properties.DeviceName。如果存在,则为 properties.RawEventData.DeviceName。 |
DeviceType |
read_only_udm.additional.fields |
键:DeviceType,值:properties.DeviceType |
Domain |
principal.administrative_domain |
用于解析 syslog/JSON 或 XML。 |
Dynamic Signature Compilation Timestamp |
security_result.description |
当 EventID 为 2010 或 2011 时,为 security_result.description 的一部分。 |
Dynamic Signature Type |
security_result.description |
当 EventID 为 2010 或 2011 时,为 security_result.description 的一部分。 |
Dynamic Signature Version |
security_result.description |
当 EventID 为 2010 或 2011 时,为 security_result.description 的一部分。 |
EmailClusterId |
read_only_udm.additional.fields |
键:EmailClusterId,值:properties.EmailClusterId |
EmailDirection |
network.direction |
如果值为 Inbound,则设置为 INBOUND。如果为 Outbound,则设置为 OUTBOUND。否则,设置为 UNKNOWN_DIRECTION。 |
EmailLanguage |
read_only_udm.additional.fields |
键:EmailLanguage,值:properties.EmailLanguage |
Engine Version |
security_result.description |
当 EventID 为 1011 时,security_result.description 的一部分。 |
EnforcementMode |
read_only_udm.additional.fields |
键:EnforcementMode,值:properties.EnforcementMode |
Error Code |
security_result.description |
当 EventID 为 1117 或 2001 时,security_result.description 的一部分。 |
Error Description |
security_result.description |
当 EventID 为 1117 或 2001 时,security_result.description 的一部分。 |
EventID |
metadata.product_event_type |
解析 syslog/JSON 或 XML 时 metadata.product_event_type 的一部分。 |
EventTime |
metadata.event_timestamp |
解析以生成 metadata.event_timestamp。 |
ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations 的值。 |
ExternalAccess |
read_only_udm.additional.fields |
键:ExternalAccess,值:properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
当 ActionType 为 LogonFailed 时,properties.FailureReason 的值。 |
FileExtension |
read_only_udm.additional.fields |
键:FileExtension,值:properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
当 category 包含 EmailAttachmentInfo 时,properties.FileName 的值。否则,target.process.file.full_path。 |
FileSize |
target.process.file.size |
properties.FileSize 的值转换为无符号整数。 |
FileSize |
about.file.size |
当 category 包含 EmailAttachmentInfo 时,properties.FileSize 的值会转换为无符号整数。 |
FileSize |
principal.process.file.size |
properties.RawEventData.FileSize 的值转换为无符号整数。 |
FileType |
about.file.mime_type |
当 category 包含 EmailAttachmentInfo 时,properties.FileType 的值。否则,target.process.file.mime_type。 |
FileType |
read_only_udm.additional.fields |
键:FileType,值:properties.RawEventData.FileType(如果不为空)或 Unknown。 |
FolderPath |
target.file.full_path |
properties.FolderPath 的值。 |
FolderPath |
target.process.file.full_path |
当 ActionType 为 CreateRemoteThreadApiCall、ExploitGuardNonMicrosoftSignedBlocked、DriverLoad、FileRenamed、OpenProcessApiCall、ReadProcessMemoryApiCall、ImageLoaded 或 properties.ActionType 时,FolderPath 的值为 FileCreatedOnNetworkShare。 |
Hidden |
read_only_udm.additional.fields |
键:Hidden,值:properties.RawEventData.Hidden |
Hostname |
principal.hostname,principal.asset.hostname |
用于解析 syslog/JSON 或 XML。 |
IPAddresses |
entity.asset.ip |
IPAddresses 数组中每个对象的 IPAddress 字段,不包括 IPv6 链路本地地址、IPv4 APIPA 地址、IPv6 回环地址、IPv6 多播地址和回环地址。 |
IPAddress |
principal.ip,principal.asset.ip |
properties.IPAddress 的值(如果它是有效的 IP 地址)。 |
IPCategory |
read_only_udm.additional.fields |
键:IPCategory,值:properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
键:IPTags,值:properties.IPTags |
ISP |
read_only_udm.additional.fields |
键:ISP,值:properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
如果存在,且 properties.AccountName 为空白,或者两者都存在,则填充。 |
InitiatingProcessAccountSid |
principal.user.windows_sid |
如果存在,且 properties.AccountSid 为空白,或者两者都存在,则填充。 |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
properties.InitiatingProcessAccountUpn 的值。 |
InitiatingProcessCommandLine |
principal.process.command_line |
移除了英文引号的 properties.InitiatingProcessCommandLine 值。 |
InitiatingProcessFileName |
principal.process.file.full_path |
properties.InitiatingProcessFileName 的值。 |
InitiatingProcessFileSize |
principal.process.file.size |
properties.InitiatingProcessFileSize 的值转换为无符号整数。 |
InitiatingProcessFolderPath |
principal.process.file.full_path |
properties.InitiatingProcessFolderPath 的值。 |
InitiatingProcessId |
principal.process.pid |
properties.InitiatingProcessId 的值转换为字符串。 |
InitiatingProcessIntegrityLevel |
about.labels,principal.resource.attribute.labels |
键:InitiatingProcessIntegrityLevel,值:properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
properties.InitiatingProcessMD5 的值。 |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
properties.InitiatingProcessParentFileName 的值。 |
InitiatingProcessParentId |
principal.process.parent_process.pid |
properties.InitiatingProcessParentId 的值转换为字符串。 |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
properties.InitiatingProcessSHA1 的值。 |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
properties.InitiatingProcessSHA256 的值。 |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
键:InitiatingProcessSignatureStatus,值:properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
键:InitiatingProcessSignerType,值:properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels,principal.resource.attribute.labels |
键:InitiatingProcessTokenElevation,值:properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
properties.InitiatingProcessVersionInfoCompanyName 的值。 |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
键:File Description,值:properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
键:File Name,值:properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
键:Original File Name,值:properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
键:InitiatingProcessVersionInfoProductName,值:properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
properties.InitiatingProcessVersionInfoProductVersion 的值。 |
InternetMessageId |
read_only_udm.additional.fields |
键:InternetMessageId,值:properties.InternetMessageId(不含尖括号)。 |
IsAdminOperation |
read_only_udm.additional.fields |
键:IsAdminOperation,值:properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
键:IsAnonymousProxy,值:properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
键:IsExternalUser,值:properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
键:IsImpersonated,值:properties.IsImpersonated |
IsLocalAdmin |
about.labels,principal.resource.attribute.labels |
键:IsLocalAdmin,值:true 或 false,具体取决于 properties.IsLocalAdmin 的布尔值。 |
LoggedOnUsers |
target.user.userid,entity.relations.entity.user.userid |
LoggedOnUsers 数组中每个对象的 UserName 字段都会添加为 target.user.userid 和相关联的用户实体。Sid 字段添加为 entity.relations.entity.user.windows_sid。 |
LocalIP |
principal.ip,principal.asset.ip |
解析 JSON 时 LocalIP 的值。 |
LocalPort |
principal.port |
解析 JSON 时,LocalPort 的值会转换为整数。 |
LogonType |
extensions.auth.mechanism |
根据值映射到 UDM 身份验证机制。 |
LogonType |
read_only_udm.additional.fields |
键:LogonType,值:properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
键:LogonUserSid,值:properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
MacAddress 或 properties.MacAddress 的值,格式为以英文冒号分隔的字符串。 |
MailboxGuid |
read_only_udm.additional.fields |
键:MailboxGuid,值:properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
键:MailboxOwnerMasterAccountSid,值:properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
键:MailboxOwnerSid,值:properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
键:MailboxOwnerUPN,值:properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
properties.MD5 的值。 |
Message |
security_result.description |
当 EventID 为 1000、1001、1002、1013、1116、1117、2000、2001、2002、2010、2011 或 5007 时,security_result.description 的一部分。 |
NetworkAdapterType |
metadata.product_event_type |
解析 JSON 时 NetworkAdapterType 的值。 |
NetworkMessageId |
network.email.mail_id |
properties.NetworkMessageId 的值。 |
New Value |
security_result.description |
当 EventID 为 5007 时,属于 security_result.description 的一部分。 |
Object Name |
read_only_udm.additional.fields |
键:ObjectName,值:properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
键:ObjectType,值:properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
键:ObjectId,值:properties.ObjectId 或 properties.RawEventData.ObjectId。 |
Old Value |
security_result.description |
当 EventID 为 5007 时,属于 security_result.description 的一部分。 |
Operation |
read_only_udm.additional.fields |
键:Operation,值:properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
键:OperationName,值:operationName |
OrganizationId |
read_only_udm.additional.fields |
键:OrganizationId,值:properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
键:OrganizationName,值:properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
键:OriginatingServer,值:properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
如果值包含 macos,则将 platform 设置为 MAC。如果为 windows,则设置为 WINDOWS。如果为 nix,则设置为 LINUX。 |
OSVersion |
asset.platform_software.platform_version |
properties.OSVersion 的值。 |
Path |
target.file.full_path |
当 EventID 为 1011 或 1116 时使用。 |
Persistence Limit Type |
security_result.description |
当 EventID 为 2010 或 2011 时,为 security_result.description 的一部分。 |
Persistence Limit Value |
security_result.description |
当 EventID 为 2010 或 2011 时,为 security_result.description 的一部分。 |
Persistence Path |
target.file.full_path |
当 EventID 为 2010 或 2011 时使用。 |
Previous Engine Version |
security_result.description |
当 EventID 为 2000、2001 或 2002 时,属于 security_result.description 的一部分。 |
PreviousRegistryKey |
target.registry.registry_key |
properties.PreviousRegistryKey 的值。 |
PreviousRegistryValueData |
target.resource.attribute.labels |
键:PreviousRegistryValueData,值:properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
键:PreviousRegistryValueName,值:properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Previous Signature Version |
security_result.description |
当 EventID 为 2000 时,属于 security_result.description 的一部分。 |
ProcessCommandLine |
target.process.command_line |
properties.ProcessCommandLine 的值。 |
ProcessID |
principal.process.pid |
用于解析 syslog/JSON 或 XML。 |
ProcessId |
target.process.pid |
properties.ProcessId 的值转换为字符串。 |
Process Name |
target.process.pid |
当 EventID 为 1116 或 1117 时使用。 |
Product Version |
metadata.product_version |
用于解析 syslog/JSON 或 XML。 |
Protocol |
network.ip_protocol |
如果值包含 Tcp,则设置为 TCP。如果为 Udp,则设置为 UDP。如果为 Icmp,则设置为 ICMP。 |
ProviderGuid |
principal.resource.id |
用于解析 syslog/JSON 或 XML。 |
PublicIP |
principal.ip,principal.asset.ip |
properties.PublicIP 的值。 |
RawEventData.Application |
principal.application |
properties.RawEventData.Application 的值。 |
RawEventData.ClientIP |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIP 的值(如果它是有效的 IP 地址)。 |
RawEventData.ClientIPAddress |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIPAddress 的值(如果它是有效的 IP 地址)。 |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
键:ClientInfoString,值:properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
键:ClientProcessName,值:properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
键:ClientRequestId,值:properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
键:ClientVersion,值:properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
键:CreationTime,值:properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname,principal.asset.hostname |
properties.RawEventData.DeviceName 的值。 |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
键:DestinationLocationType,值:properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations 的值。 |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
键:ExternalAccess,值:properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
键:FileExtension,值:properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
properties.RawEventData.FileSize 的值转换为无符号整数。 |
RawEventData.FileType |
read_only_udm.additional.fields |
键:FileType,值:properties.RawEventData.FileType(如果不为空)或 Unknown。 |
RawEventData.Hidden |
read_only_udm.additional.fields |
键:Hidden,值:properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
键:RawEventDataId,值:properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
键:RawEventDataItemId,值:properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
键:LogonType,值:properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
键:LogonUserSid,值:properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
键:MailboxGuid,值:properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
键:MailboxOwnerMasterAccountSid,值:properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
键:MailboxOwnerSid,值:properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
键:MailboxOwnerUPN,值:properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
键:MDATPDeviceId,值:properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
键:ObjectId,值:properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
键:Operation,值:properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
键:OrganizationId,值:properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
键:OrganizationName,值:properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
键:OriginatingServer,值:properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
键:RawEventDataParentFolderId,值:properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
properties.RawEventData.Pid 的值转换为字符串。 |
RawEventData.Query |
read_only_udm.additional.fields |
键:Query,值:properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
properties.RawEventData.RecordType 的值转换为无符号整数。 |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
键:ResultStatus,值:properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
键:Scope,值:properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
properties.RawEventData.SessionId 的值。 |
RawEventData.Sha1 |
target.process.file.sha1 |
properties.RawEventData.Sha1 的值。 |
RawEventData.Sha256 |
target.process.file.sha256 |
properties.RawEventData.Sha256 的值。 |
RawEventData.TargetDomain |
target.hostname,target.asset.hostname |
properties.RawEventData.TargetDomain 的值。 |
RawEventData.TargetFilePath |
target.file.full_path |
properties.RawEventData.TargetFilePath 的值。 |
RawEventData.UserId |
principal.user.email_addresses |
properties.RawEventData.UserId 的值(如果它是电子邮件地址)。 |
RawEventData.UserKey |
read_only_udm.additional.fields |
键:UserKey,值:properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
键:UserType,值:properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
键:Version,值:properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
键:Workload,值:properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to,target.user.email_addresses |
properties.RecipientEmailAddress 的值。 |
RecipientObjectId |
target.user.product_object_id |
properties.RecipientObjectId 的值。 |
RegistryKey |
target.registry.registry_key |
properties.RegistryKey 的值。 |
RegistryValueData |
target.registry.registry_value_data |
properties.RegistryValueData 的值。 |
RegistryValueName |
target.registry.registry_value_name |
properties.RegistryValueName 的值。 |
Remediation User |
intermediary.user.userid |
当 EventID 为 1117 时使用。 |
RemoteDeviceName |
target.hostname,target.asset.hostname |
properties.RemoteDeviceName 的值。 |
RemoteIP |
target.ip,target.asset.ip |
properties.RemoteIP 的值(如果不为空、不为 - 或不为 null)。 |
RemoteIPType |
about.labels,principal.resource.attribute.labels |
键:RemoteIPType,值:properties.RemoteIPType |
RemotePort |
target.port |
properties.RemotePort 的值转换为整数。 |
RemoteUrl |
target.url |
properties.RemoteUrl 的值。如果其中包含主机名,则提取该主机名并将其映射到 target.hostname 和 target.asset.hostname。 |
Removal Reason Value |
security_result.description |
当 EventID 为 2011 时,security_result.description 的一部分。 |
ReportId |
metadata.product_log_id |
properties.ReportId 的值转换为字符串。 |
Scan ID |
security_result.description |
当 EventID 为 1000、1001 或 1002 时,属于 security_result.description 的一部分。 |
Scan Parameters |
security_result.description |
当 EventID 为 1000、1001 或 1002 时,属于 security_result.description 的一部分。 |
Scan Resources |
target.file.full_path |
当 EventID 为 1000 时使用。 |
Scan Time Hours |
security_result.description |
当 EventID 为 1001 时,security_result.description 的一部分。 |
Scan Time Minutes |
security_result.description |
当 EventID 为 1001 时,security_result.description 的一部分。 |
Scan Time Seconds |
security_result.description |
当 EventID 为 1001 时,security_result.description 的一部分。 |
Scan Type |
security_result.description |
当 EventID 为 1000、1001 或 1002 时,属于 security_result.description 的一部分。 |
Security intelligence Type |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Security intelligence Version |
security_result.description |
当 EventID 为 1011 时,security_result.description 的一部分。 |
SenderDisplayName |
principal.user.user_display_name |
properties.SenderDisplayName 的值。 |
SenderFromAddress |
network.email.from,principal.user.email_addresses |
properties.SenderFromAddress 的值。 |
SenderFromDomain |
principal.administrative_domain |
properties.SenderFromDomain 的值。 |
SenderIPv4 |
principal.ip,principal.asset.ip |
properties.SenderIPv4 的值。 |
SenderIPv6 |
principal.ip,principal.asset.ip |
properties.SenderIPv6 的值。 |
SenderMailFromAddress |
principal.user.attribute.labels |
键:SenderMailFromAddress,值:properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
键:SenderMailFromDomain,值:properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
properties.SenderObjectId 的值。 |
Severity Name |
security_result.severity |
如果值为 Low,则设置为 LOW。如果为 Moderate,则设置为 MEDIUM。如果为 High 或 Severe,则设置为 HIGH。 |
Severity |
security_result.severity |
如果值包含 informational,则设置为 INFORMATIONAL。如果为 low,则设置为 LOW。如果为 medium,则设置为 MEDIUM。如果为 high,则设置为 HIGH。否则,设置为 UNKNOWN_SEVERITY。 |
Severity |
security_result.severity_details |
properties.Severity 的值。 |
SHA1 |
target.process.file.sha1 |
properties.SHA1 的值。 |
SHA256 |
target.process.file.sha256 |
properties.SHA256 的值。 |
SHA256 |
about.file.sha256 |
当 category 包含 EmailAttachmentInfo 时,properties.SHA256 的值。 |
Signature Type |
security_result.description |
当 EventID 为 2000 或 2010 时,security_result.description 的一部分。 |
SourceModuleName |
target.resource.name |
当 EventID 为 2008 时使用。 |
Source Path |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Subject |
network.email.subject |
properties.Subject 的值。 |
Tenant |
read_only_udm.additional.fields |
键:Tenant,值:Tenant |
tenantId |
observer.cloud.project.id,target.resource_ancestors.product_object_id |
tenantId 或 properties.tenantId 的值。 |
Threat ID |
security_result.threat_name |
当 EventID 为 1011 或 1116 时,security_result.threat_name 的一部分。 |
ThreatNames |
security_result.threat_name |
properties.ThreatNames 的值。 |
Threat Types |
security_result.category |
如果值为 Phish,则将 security_result_category 设置为 MAIL_PHISHING。否则,设置为 UNKNOWN_CATEGORY。 |
Timestamp |
security_result.description |
当 EventID 为 1013 时,security_result.description 的一部分。 |
Timestamp |
metadata.event_timestamp |
解析以生成 metadata.event_timestamp。 |
Timestamp |
entity.asset.system_last_update_time |
当 category 为 AdvancedHunting-DeviceNetworkInfo 时,properties.Timestamp 的值。 |
Title |
security_result.threat_name |
properties.Title 的值。 |
Update Source |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Update State |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Update Type |
security_result.description |
当 EventID 为 2000 或 2001 时,属于 security_result.description 的一部分。 |
UserAgent |
network.http.user_agent |
properties.UserAgent 的值。 |
UserAgentTags |
additional.fields |
properties.UserAgentTags 数组中的每个元素都会添加为键为 UserAgentTags 的标签。 |
Url |
target.url |
properties.Url 的值。 |
UrlCount |
read_only_udm.additional.fields |
键:UrlCount,值:properties.UrlCount |
UrlDomain |
target.hostname,target.asset.hostname |
properties.UrlDomain 的值。 |
UrlLocation |
read_only_udm.additional.fields |
键:UrlLocation,值:properties.UrlLocation |
User |
target.user.userid |
当 EventID 为 1000、1001、1002、1011、1013、2000、2002 或 Message 包含 \tUser: 时使用。 |
UserID |
principal.user.userid |
当 EventID 为 2010 或 2011 时使用。 |
| (解析器逻辑) | metadata.event_type |
最初设置为 GENERIC_EVENT,然后根据其他字段和逻辑进行覆盖。常见值包括 NETWORK_CONNECTION、PROCESS_LAUNCH、FILE_CREATION、FILE_MODIFICATION、USER_LOGIN、SCAN_HOST、SCAN_PROCESS、SYSTEM_AUDIT_LOG_WIPE、SETTING_MODIFICATION、FILE_DELETION、PROCESS_MODULE_LOAD、PROCESS_UNCATEGORIZED、STATUS_UPDATE、PROCESS_OPEN、NETWORK_DNS、FILE_MOVE、REGISTRY_CREATION、REGISTRY_DELETION、REGISTRY_MODIFICATION、SCHEDULED_TASK_CREATION、SCHEDULED_TASK_DELETION、SCHEDULED_TASK_MODIFICATION、SCAN_NETWORK、USER_UNCATEGORIZED。 |
| (解析器逻辑) | metadata.vendor_name |
设置为 Microsoft。 |
| (解析器逻辑) | metadata.product_name |
最初设置为 Windows Defender ATP,然后可能会被 category 字段覆盖。 |
| (解析器逻辑) | metadata.product_event_type |
最初设置为 GENERIC_EVENT,然后根据其他字段和逻辑进行覆盖。 |
| (解析器逻辑) | metadata.product_version |
根据 Product Version 或 properties.InitiatingProcessVersionInfoProductVersion 进行设置。 |
| (解析器逻辑) | metadata.log_type |
设置为 WINDOWS_DEFENDER_ATP。 |
| (解析器逻辑) | principal.resource.type |
在解析 syslog/JSON 或 XML 时,设置为 PROVIDER。 |
| (解析器逻辑) | target.resource_ancestors |
包含一个祖先,其 product_object_id 设置为 tenantId。 |
| (解析器逻辑) | security_result.summary |
根据 EventID、properties.ActionType 或 properties.Title 以及 properties.Category 进行设置。 |
| (解析器逻辑) | security_result.description |
根据 EventID 或 properties.ActionType 由各种字段构成。 |
| (解析器逻辑) | security_result.action |
最初设置为 ALLOW,然后可能会根据 AdditionalFields.WasRemediated、ActionType 或 Action Name 进行覆盖。 |
| (解析器逻辑) | security_result.severity |
根据 Severity Name 或 properties.Severity 进行设置。 |
| (解析器逻辑) | security_result.category |
根据 Threat Types 设置。 |
| (解析器逻辑) | network.direction |
根据 RemoteIP、LocalIP 或 EmailDirection 进行设置。 |
| (解析器逻辑) | network.ip_protocol |
当 metadata.event_type 为 NETWORK_CONNECTION 时,设置为 TCP。 |
| (解析器逻辑) | network.session_id |
根据 properties.RawEventData.SessionId 设置。 |
| (解析器逻辑) | network.http.user_agent |
根据 properties.UserAgent 设置。 |
| (解析器逻辑) | network.email.mail_id |
根据 properties.NetworkMessageId 设置。 |
| (解析器逻辑) | network.email.subject |
根据 properties.Subject 设置。 |
| (解析器逻辑) | network.email.from |
根据 properties.SenderFromAddress 设置。 |
| (解析器逻辑) | network.email.to |
根据 properties.RecipientEmailAddress 设置。 |
| (解析器逻辑) | network.dns.questions.name |
根据 AdditionalFields.DnsQueryString 设置。 |
| (解析器逻辑) | network.dns.questions.type |
根据 properties.RawEventData.RecordType 设置。 |
| (解析器逻辑) | network.dns.answers |
通过 AdditionalFields.DnsQueryResult 构造。 |
| (解析器逻辑) | extensions.auth.type |
当 ActionType 为 LogonAttempted 或 LogonSuccess 时,设置为 MACHINE。 |
| (解析器逻辑) | extensions.auth.mechanism |
根据 LogonType 或 AdditionalFields.IsLocalLogon 进行设置。 |
| (解析器逻辑) | extensions.auth.auth_details |
根据 properties.AuthenticationDetails 设置。 |
| (解析器逻辑) | entity.asset.asset_id |
使用 WINDOWS: + DeviceId 或 properties.DeviceId 构建。 |
| (解析器逻辑) | entity.asset.product_object_id |
设置为 DeviceId 或 properties.DeviceId。 |
| (解析器逻辑) | entity.asset.network_domain |
提取自 ConnectedNetworks。 |
| (解析器逻辑) | entity.asset.ip |
根据 IPAddresses、_ipaddress、PublicIP 或 LocalIP 进行设置。 |
| (解析器逻辑) | entity.asset.mac |
根据 MacAddress 或 properties.MacAddress 进行设置。 |
| (解析器逻辑) | entity.asset.hostname |
根据 DeviceName 或 properties.DeviceName 进行设置。 |
| (解析器逻辑) | entity.asset.platform_software.platform |
根据 OSPlatform 设置。 |
| (解析器逻辑) | entity.asset.platform_software.platform_version |
根据 OSVersion 设置。 |
| (解析器逻辑) | entity.asset.category |
根据 DeviceCategory 设置。 |
| (解析器逻辑) | entity.asset.type |
对于设备和网络信息事件,设置为 WORKSTATION。 |
| (解析器逻辑) | entity.asset.system_last_update_time |
根据 properties.Timestamp 为网络信息事件设置。 |
| (解析器逻辑) | entity.relations |
通过 LoggedOnUsers 构造。 |
| (解析器逻辑) | entity.metadata.entity_type |
对于设备、网络和资产事件,设置为 ASSET。 |
| (解析器逻辑) | about.labels |
包含不直接适合 UDM 架构的各种字段的标签。 |
| (解析器逻辑) | principal.user.attribute.labels |
包含各种与用户相关的字段的标签。 |
| (解析器逻辑) | principal.resource.attribute.labels |
包含各种资源相关字段的标签。 |
| (解析器逻辑) | target.resource.resource_type |
对于预定任务事件,设置为 TASK;对于设置修改事件,设置为 SETTING。 |
| (解析器逻辑) | target.resource.name |
根据 SourceModuleName、AdditionalFields.TaskName 或 _taskname 进行设置。 |
| (解析器逻辑) | target.resource.product_object_id |
根据 properties.ReportId 设置。 |
| (解析器逻辑) | target.resource_ancestors |
根据 tenantId 设置。 |
| (解析器逻辑) | target.registry.registry_key |
根据 RegistryKey、PreviousRegistryKey 或 properties.RegistryKey 进行设置。 |
| (解析器逻辑) | target.registry.registry_value_name |
根据 RegistryValueName 或 properties.RegistryValueName 进行设置。 |
| (解析器逻辑) | target.registry.registry_value_data |
根据 RegistryValueData 或 properties.RegistryValueData 进行设置。 |
| (解析器逻辑) | intermediary.user.userid |
根据 Remediation User 设置。 |
| (解析器逻辑) | metadata.collected_timestamp |
针对资产和网络信息事件设置为事件时间戳。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。