Microsoft 模块
编辑Microsoft 模块编辑
这是一个用于从不同 Microsoft 产品提取数据的模块。目前支持以下文件集
-
defender_atp文件集:支持 Microsoft Defender for Endpoint (Microsoft Defender ATP) -
m365_defender文件集:支持 Microsoft 365 Defender(Microsoft 威胁防护)
运行模块时,它会在后台执行一些任务
- 设置日志文件的默认路径(但不用担心,您可以覆盖默认值)
- 确保每个多行日志事件都作为单个事件发送
- 使用 Elasticsearch 提取管道来解析和处理日志行,将数据整形为适合在 Kibana 中可视化的结构
- 部署仪表板以可视化日志数据
阅读快速入门,了解如何配置和运行模块。
配置模块编辑
您可以通过在 modules.d/microsoft.yml 文件中指定变量设置,或在命令行中覆盖设置,进一步优化 microsoft 模块的行为。
您必须在模块中至少启用一个文件集。 默认情况下禁用文件集。
变量设置编辑
每个文件集都有单独的变量设置,用于配置模块的行为。如果您没有指定变量设置,microsoft 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置。
在命令行中指定设置时,请记住在设置前加上模块名称,例如,使用 microsoft.defender_atp.var.paths 而不是 defender_atp.var.paths。
m365_defender 文件集设置编辑
要配置 Filebeat 对 Microsoft 365 Defender 的访问权限,您必须创建一个新的 Azure 应用程序注册,这将再次返回具有访问 Microsoft 365 Defender API 权限的 Oauth 令牌。
创建应用程序的过程请参阅以下链接
当授予应用程序文档中描述的 API 权限(Incident.Read.All)时,它将只授予从 365 Defender 读取事件的权限,而不能访问 Azure 域中的任何其他内容。
创建应用程序后,它应该包含 3 个需要应用于模块配置的值。
这些值是
- 客户端 ID
- 客户端密钥
- 租户 ID
配置示例
- module: microsoft
m365_defender:
enabled: true
var.oauth2.client.id: "123abc-879546asd-349587-ad64508"
var.oauth2.client.secret: "980453~-Sg99gedf"
var.oauth2.token_url: "https://login.microsoftonline.com/INSERT-TENANT-ID/oauth2/v2.0/token"
var.oauth2.scopes:
- "https://api.security.microsoft.com/.default"
-
var.oauth2.client.id - 这是与在 Azure 上创建新应用程序相关的客户端 ID。
-
var.oauth2.client.secret - 与客户端 ID 相关的密钥。
-
var.oauth2.token_url - 指向 Microsoft 的 Oauth2 服务的预定义 URL。URL 应该始终相同,但需要添加到完整 URL 的租户 ID 除外。
-
var.oauth2.scopes - 包含的范围列表,除非另有指定,否则应使用 .default。
365 Defender ECS 字段编辑
这是映射到 ECS 的 365 Defender 字段列表。
| 365 Defender 字段 | ECS 字段 | |
|---|---|---|
lastUpdateTime |
@timestamp |
|
severity |
event.severity |
|
createdTime |
event.created |
|
alerts.category |
threat.technique.name |
|
alerts.description |
rule.description |
|
alerts.serviceSource |
event.provider |
|
alerts.alertId |
event.id |
|
alerts.firstActivity |
event.start |
|
alerts.lastActivity |
event.end |
|
alerts.title |
message |
|
entities.processId |
process.pid |
|
entities.processCommandLine |
process.command_line |
|
entities.processCreationTime |
process.start |
|
entities.parentProcessId |
process.parent.pid |
|
entities.parentProcessCreationTime |
process.parent.start |
|
entities.sha1 |
file.hash.sha1 |
|
entities.sha256 |
file.hash.sha256 |
|
entities.url |
url.full |
|
entities.filePath |
file.path |
|
entities.fileName |
file.name |
|
entities.userPrincipalName |
host.user.name |
|
entities.domainName |
host.user.domain |
|
entities.aadUserId |
host.user.id |
defender_atp 文件集设置编辑
要允许 filebeat 模块从 Microsoft Defender API 提取数据,您需要在 Azure 域上创建一个新的应用程序。
创建应用程序的过程请参阅以下链接
当授予应用程序文档中描述的 API 权限(Windows Defender ATP Alert.Read.All)时,它将只授予从 ATP 读取警报的权限,而不能访问 Azure 域中的任何其他内容。
创建应用程序后,它应该包含 3 个需要应用于模块配置的值。
这些值是
- 客户端 ID
- 客户端密钥
- 租户 ID
配置示例
- module: microsoft
defender_atp:
enabled: true
var.oauth2.client.id: "123abc-879546asd-349587-ad64508"
var.oauth2.client.secret: "980453~-Sg99gedf"
var.oauth2.token_url: "https://login.microsoftonline.com/INSERT-TENANT-ID/oauth2/token"
-
var.oauth2.client.id - 这是与在 Azure 上创建新应用程序相关的客户端 ID。
-
var.oauth2.client.secret - 与客户端 ID 相关的密钥。
-
var.oauth2.token_url - 指向 Microsoft 的 Oauth2 服务的预定义 URL。URL 应该始终相同,但需要添加到完整 URL 的租户 ID 除外。
Defender ATP ECS 字段编辑
这是映射到 ECS 的 Defender ATP 字段列表。
| Defender ATP 字段 | ECS 字段 | |
|---|---|---|
alertCreationTime |
@timestamp |
|
aadTenantId |
cloud.account.id |
|
category |
threat.technique.name |
|
computerDnsName |
host.hostname |
|
description |
rule.description |
|
detectionSource |
observer.name |
|
evidence.fileName |
file.name |
|
evidence.filePath |
file.path |
|
evidence.processId |
process.pid |
|
evidence.processCommandLine |
process.command_line |
|
evidence.processCreationTime |
process.start |
|
evidence.parentProcessId |
process.parent.pid |
|
evidence.parentProcessCreationTime |
process.parent.start |
|
evidence.sha1 |
file.hash.sha1 |
|
evidence.sha256 |
file.hash.sha256 |
|
evidence.url |
url.full |
|
firstEventTime |
event.start |
|
id |
event.id |
|
lastEventTime |
event.end |
|
machineId |
cloud.instance.id |
|
relatedUser.userName |
host.user.name |
|
relatedUser.domainName |
host.user.domain |
|
title |
message |
|
severity |
event.severity |
仪表板编辑
此模块附带一个用于 Defender ATP 的示例仪表板。
查看 Defender ATP 事件和警报数据的最佳方式是在 SIEM 中。
对于警报,请转到“检测”→“外部警报”。
对于所有其他 Defender ATP 事件类型,请转到“主机”→“事件”。
字段编辑
有关模块中每个字段的描述,请参阅导出字段部分。