Microsoft 模块
编辑Microsoft 模块
编辑这是一个用于摄取来自不同 Microsoft 产品的数据的模块。目前支持以下文件集
-
defender_atp文件集:支持 Microsoft Defender for Endpoint (Microsoft Defender ATP) -
m365_defender文件集:支持 Microsoft 365 Defender (Microsoft Threat Protection)
运行该模块时,它会在后台执行一些任务
- 设置日志文件的默认路径(但不用担心,您可以覆盖默认值)
- 确保每个多行日志事件都作为单个事件发送
- 使用 Elasticsearch Ingest Pipeline 解析和处理日志行,将数据塑造成适合在 Kibana 中可视化的结构
- 部署用于可视化日志数据的仪表板
阅读 快速入门,了解如何配置和运行模块。
配置模块
编辑您可以通过在 modules.d/microsoft.yml 文件中指定 变量设置 或在命令行覆盖设置,进一步优化 microsoft 模块的行为。
您必须在模块中启用至少一个文件集。文件集默认情况下处于禁用状态。
变量设置
编辑每个文件集都有单独的变量设置来配置模块的行为。如果您没有指定变量设置,microsoft 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置。
在命令行指定设置时,请记住在设置前添加模块名称前缀,例如,使用 microsoft.defender_atp.var.paths 而不是 defender_atp.var.paths。
m365_defender 文件集设置
编辑要配置 Filebeat 访问 Microsoft 365 Defender,您必须创建一个新的 Azure 应用程序注册,这将再次返回具有 Microsoft 365 Defender API 访问权限的 OAuth 令牌。
创建应用程序的步骤可在以下链接中找到。
当为应用程序授予文档中描述的 API 权限 (Incident.Read.All) 时,它只会授予读取 365 Defender 中事件的权限,而不会授予 Azure 域中的其他任何权限。
创建应用程序后,它应该包含三个需要应用于模块配置的值。
这些值是:
- 客户端 ID
- 客户端密钥
- 租户 ID
示例配置
- module: microsoft
m365_defender:
enabled: true
var.oauth2.client.id: "123abc-879546asd-349587-ad64508"
var.oauth2.client.secret: "980453~-Sg99gedf"
var.oauth2.token_url: "https://login.microsoftonline.com/INSERT-TENANT-ID/oauth2/v2.0/token"
var.oauth2.scopes:
- "https://api.security.microsoft.com/.default"
-
var.oauth2.client.id - 这是与在 Azure 上创建新应用程序相关的客户端 ID。
-
var.oauth2.client.secret - 与客户端 ID 相关的密钥。
-
var.oauth2.token_url - 指向 Microsoft OAuth2 服务的预定义 URL。除需要添加到完整 URL 的租户 ID 外,URL 始终保持不变。
-
var.oauth2.scopes - 包含的范围列表,除非另有指定,否则应使用 .default。
365 Defender ECS 字段
编辑这是一个映射到 ECS 的 365 Defender 字段列表。
| 365 Defender 字段 | ECS 字段 | |
|---|---|---|
lastUpdateTime |
@timestamp |
|
severity |
event.severity |
|
createdTime |
event.created |
|
alerts.category |
threat.technique.name |
|
alerts.description |
rule.description |
|
alerts.serviceSource |
event.provider |
|
alerts.alertId |
event.id |
|
alerts.firstActivity |
event.start |
|
alerts.lastActivity |
event.end |
|
alerts.title |
message |
|
entities.processId |
process.pid |
|
entities.processCommandLine |
process.command_line |
|
entities.processCreationTime |
process.start |
|
entities.parentProcessId |
process.parent.pid |
|
entities.parentProcessCreationTime |
process.parent.start |
|
entities.sha1 |
file.hash.sha1 |
|
entities.sha256 |
file.hash.sha256 |
|
entities.url |
url.full |
|
entities.filePath |
file.path |
|
entities.fileName |
file.name |
|
entities.userPrincipalName |
host.user.name |
|
entities.domainName |
host.user.domain |
|
entities.aadUserId |
host.user.id |
defender_atp 文件集设置
编辑要允许 filebeat 模块从 Microsoft Defender API 摄取数据,您需要在您的 Azure 域上创建一个新的应用程序。
创建应用程序的步骤可在以下链接中找到。
当为应用程序授予文档中描述的 API 权限 (Windows Defender ATP Alert.Read.All) 时,它只会授予读取 ATP 警报的权限,而不会授予 Azure 域中的其他任何权限。
创建应用程序后,它应该包含三个需要应用于模块配置的值。
这些值是:
- 客户端 ID
- 客户端密钥
- 租户 ID
示例配置
- module: microsoft
defender_atp:
enabled: true
var.oauth2.client.id: "123abc-879546asd-349587-ad64508"
var.oauth2.client.secret: "980453~-Sg99gedf"
var.oauth2.token_url: "https://login.microsoftonline.com/INSERT-TENANT-ID/oauth2/token"
-
var.oauth2.client.id - 这是与在 Azure 上创建新应用程序相关的客户端 ID。
-
var.oauth2.client.secret - 与客户端 ID 相关的密钥。
-
var.oauth2.token_url - 指向 Microsoft OAuth2 服务的预定义 URL。除需要添加到完整 URL 的租户 ID 外,URL 始终保持不变。
Defender ATP ECS 字段
编辑这是一个映射到 ECS 的 Defender ATP 字段列表。
| Defender ATP 字段 | ECS 字段 | |
|---|---|---|
alertCreationTime |
@timestamp |
|
aadTenantId |
cloud.account.id |
|
category |
threat.technique.name |
|
computerDnsName |
host.hostname |
|
description |
rule.description |
|
detectionSource |
observer.name |
|
evidence.fileName |
file.name |
|
evidence.filePath |
file.path |
|
evidence.processId |
process.pid |
|
evidence.processCommandLine |
process.command_line |
|
evidence.processCreationTime |
process.start |
|
evidence.parentProcessId |
process.parent.pid |
|
evidence.parentProcessCreationTime |
process.parent.start |
|
evidence.sha1 |
file.hash.sha1 |
|
evidence.sha256 |
file.hash.sha256 |
|
evidence.url |
url.full |
|
firstEventTime |
event.start |
|
id |
event.id |
|
lastEventTime |
event.end |
|
machineId |
cloud.instance.id |
|
relatedUser.userName |
host.user.name |
|
relatedUser.domainName |
host.user.domain |
|
title |
message |
|
severity |
event.severity |
仪表板
编辑此模块附带 Defender ATP 的示例仪表板。
在 SIEM 中查看 Defender ATP 事件和警报数据的最佳方法。
对于警报,请转到检测 → 外部警报。
对于所有其他 Defender ATP 事件类型,请转到主机 → 事件。
字段
编辑有关模块中每个字段的说明,请参阅 导出字段 部分。