Microsoft 模块
编辑Microsoft 模块
编辑这是一个用于从不同 Microsoft 产品提取数据的模块。目前支持以下文件集
-
defender_atp文件集:支持 Microsoft Defender for Endpoint (Microsoft Defender ATP) -
m365_defender文件集:支持 Microsoft 365 Defender (Microsoft 威胁防护)
当您运行该模块时,它会在后台执行一些任务
- 设置日志文件的默认路径(但不用担心,您可以覆盖默认值)
- 确保每个多行日志事件都作为单个事件发送
- 使用 Elasticsearch 摄取管道来解析和处理日志行,将数据塑造成适合在 Kibana 中可视化的结构
- 部署用于可视化日志数据的仪表板
阅读快速入门,了解如何配置和运行模块。
配置模块
编辑您可以通过在 modules.d/microsoft.yml 文件中指定变量设置或在命令行覆盖设置来进一步优化 microsoft 模块的行为。
您必须在模块中启用至少一个文件集。默认情况下,文件集处于禁用状态。
变量设置
编辑每个文件集都有单独的变量设置,用于配置模块的行为。如果您不指定变量设置,则 microsoft 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置。
当您在命令行指定设置时,请记住在设置前加上模块名称,例如,microsoft.defender_atp.var.paths 而不是 defender_atp.var.paths。
m365_defender 文件集设置
编辑要配置 Filebeat 访问 Microsoft 365 Defender,您必须创建一个新的 Azure 应用程序注册,这将再次返回带有访问 Microsoft 365 Defender API 权限的 Oauth 令牌
有关创建应用程序的步骤,请参见以下链接
当给应用程序授予文档中描述的 API 权限 (Incident.Read.All) 时,它将仅授予读取 365 Defender 中的事件的权限,而不会授予 Azure 域中的任何其他权限。
创建应用程序后,它应包含 3 个您需要应用于模块配置的值。
这些值是
- 客户端 ID
- 客户端密钥
- 租户 ID
配置示例
- module: microsoft
m365_defender:
enabled: true
var.oauth2.client.id: "123abc-879546asd-349587-ad64508"
var.oauth2.client.secret: "980453~-Sg99gedf"
var.oauth2.token_url: "https://login.microsoftonline.com/INSERT-TENANT-ID/oauth2/v2.0/token"
var.oauth2.scopes:
- "https://api.security.microsoft.com/.default"
-
var.oauth2.client.id - 这是与在 Azure 上创建新应用程序相关的客户端 ID。
-
var.oauth2.client.secret - 与客户端 ID 相关的密钥。
-
var.oauth2.token_url - 指向 Microsoft 的 Oauth2 服务的预定义 URL。除了需要添加到完整 URL 的租户 ID 之外,URL 应始终相同。
-
var.oauth2.scopes - 包含的范围列表,应使用 .default,除非指定了其他范围。
365 Defender ECS 字段
编辑这是映射到 ECS 的 365 Defender 字段的列表。
| 365 Defender 字段 | ECS 字段 | |
|---|---|---|
lastUpdateTime |
@timestamp |
|
severity |
event.severity |
|
createdTime |
event.created |
|
alerts.category |
threat.technique.name |
|
alerts.description |
rule.description |
|
alerts.serviceSource |
event.provider |
|
alerts.alertId |
event.id |
|
alerts.firstActivity |
event.start |
|
alerts.lastActivity |
event.end |
|
alerts.title |
message |
|
entities.processId |
process.pid |
|
entities.processCommandLine |
process.command_line |
|
entities.processCreationTime |
process.start |
|
entities.parentProcessId |
process.parent.pid |
|
entities.parentProcessCreationTime |
process.parent.start |
|
entities.sha1 |
file.hash.sha1 |
|
entities.sha256 |
file.hash.sha256 |
|
entities.url |
url.full |
|
entities.filePath |
file.path |
|
entities.fileName |
file.name |
|
entities.userPrincipalName |
host.user.name |
|
entities.domainName |
host.user.domain |
|
entities.aadUserId |
host.user.id |
defender_atp 文件集设置
编辑要允许 filebeat 模块从 Microsoft Defender API 提取数据,您需要在您的 Azure 域上创建一个新的应用程序。
有关创建应用程序的步骤,请参见以下链接
当给应用程序授予文档中描述的 API 权限 (Windows Defender ATP Alert.Read.All) 时,它将仅授予读取 ATP 中的警报的权限,而不会授予 Azure 域中的任何其他权限。
创建应用程序后,它应包含 3 个您需要应用于模块配置的值。
这些值是
- 客户端 ID
- 客户端密钥
- 租户 ID
配置示例
- module: microsoft
defender_atp:
enabled: true
var.oauth2.client.id: "123abc-879546asd-349587-ad64508"
var.oauth2.client.secret: "980453~-Sg99gedf"
var.oauth2.token_url: "https://login.microsoftonline.com/INSERT-TENANT-ID/oauth2/token"
-
var.oauth2.client.id - 这是与在 Azure 上创建新应用程序相关的客户端 ID。
-
var.oauth2.client.secret - 与客户端 ID 相关的密钥。
-
var.oauth2.token_url - 指向 Microsoft 的 Oauth2 服务的预定义 URL。除了需要添加到完整 URL 的租户 ID 之外,URL 应始终相同。
Defender ATP ECS 字段
编辑这是映射到 ECS 的 Defender ATP 字段的列表。
| Defender ATP 字段 | ECS 字段 | |
|---|---|---|
alertCreationTime |
@timestamp |
|
aadTenantId |
cloud.account.id |
|
category |
threat.technique.name |
|
computerDnsName |
host.hostname |
|
description |
rule.description |
|
detectionSource |
observer.name |
|
evidence.fileName |
file.name |
|
evidence.filePath |
file.path |
|
evidence.processId |
process.pid |
|
evidence.processCommandLine |
process.command_line |
|
evidence.processCreationTime |
process.start |
|
evidence.parentProcessId |
process.parent.pid |
|
evidence.parentProcessCreationTime |
process.parent.start |
|
evidence.sha1 |
file.hash.sha1 |
|
evidence.sha256 |
file.hash.sha256 |
|
evidence.url |
url.full |
|
firstEventTime |
event.start |
|
id |
event.id |
|
lastEventTime |
event.end |
|
machineId |
cloud.instance.id |
|
relatedUser.userName |
host.user.name |
|
relatedUser.domainName |
host.user.domain |
|
title |
message |
|
severity |
event.severity |
仪表板
编辑此模块附带一个 Defender ATP 的示例仪表板。
查看 Defender ATP 事件和警报数据的最佳方式是在 SIEM 中。
对于警报,请转到“检测”→“外部警报”。
对于所有其他 Defender ATP 事件类型,请转到“主机”→“事件”。
字段
编辑有关模块中每个字段的说明,请参阅导出的字段部分。