« BBOT 集成 Bravura Monitor 集成 »
Elastic 文档 Elastic 集成

Box 事件集成

编辑

Box 事件集成

编辑

版本

2.11.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Box 事件集成允许您监控 Box。Box 是一种安全的云存储和协作服务,使企业和个人可以轻松共享文件。

使用 Box 事件集成来摄取每次在 Box 中上传、访问或修改文件时生成的活动日志,使您能够监控数据向云端的移动。如果您选择接收其他事件,则 Box 事件集成将基于异常用户行为摄取有关潜在威胁的上下文丰富的警报,例如帐户泄露和数据盗窃。将此数据与其他事件结合使用可以检测数据泄露攻击。

然后在 Kibana 中可视化该数据,创建警报以在出现问题时通知您,并在排查问题时参考 box_events.events

例如,如果您想为传入的 Box Shield 警报设置通知,您可以从 Box Shield Alerts 仪表板验证此数据是否正在被摄取。然后,转到侧边栏中的 警报和见解 / 规则和连接器,并使用针对索引 *box*alert* 的 Elasticsearch 查询,时间字段 @timestamp 和 DSL 设置规则

{
  "query":{
    "match" : {
      "event.kind": "alert"
    }
  }
}

以匹配您期望的时间段内传入的 Box 警报,并使用您首选的连接器通知您。

兼容性

编辑

Box Web 应用程序没有版本号,请参阅此社区帖子。此集成已在 2022 年第二季度针对 Box 进行配置和测试。

Box 事件

编辑

Box 事件 API 允许订阅整个企业或特定用户的实时事件,或查询整个企业的历史事件。

API 最多返回一年内可配置给 admin 用户(默认)或整个企业的历史事件。

Box 事件的 Elastic 集成设置

编辑

Box 事件的 Elastic 集成需要以下身份验证设置才能连接到目标服务

  • 客户端 ID
  • 客户端密钥
  • Box 主题 ID
  • Box 主题类型
  • 授权类型

Box 事件的 Elastic 集成需要以下数据流设置来配置对目标 API 的请求

  • 间隔
  • 流类型
  • 保留原始事件

这是一个简短的指南,可帮助您生成这些设置

目标存储库身份验证设置先决条件

编辑

Box 事件的 Elastic 集成使用 OAuth 2.0 连接以与 Box 自定义应用程序交互。作为先决条件,您需要

  • 按照 Box 支持上的 MFA 设置中的说明,在您的管理员帐户上启用 MFA/2FA
  • 配置一个Box 自定义应用程序,使用服务器身份验证` + `(使用客户端凭据授权)。下面提供了建议的工作流程,有关更多信息,请参阅使用 OAuth 2.0 进行设置

授权用户

编辑

重要的是以 admin 而不是 co-admin 的身份登录到 Box 开发人员控制台

建议的工作流程如下

编辑

创建使用服务器身份验证(使用客户端凭据授权)的自定义应用程序

编辑
  1. 打开Box 开发人员控制台
  2. 单击 创建新应用
  3. 单击 自定义应用
  4. 选择 服务器身份验证(客户端凭据授权)
  5. 提供一个应用名称,例如 elastic-box-integration
  6. 单击 创建应用
  7. 创建应用程序后,向下滚动并在 应用访问级别 下选择 应用 + 企业访问

  8. 向下滚动到 应用程序范围,然后在 管理操作 下选择

    • 管理用户
    • 管理企业属性

  9. 向下滚动到 高级功能 并选择

    • 生成用户访问令牌
  10. 单击 保存更改

Box 开发人员控制台提交应用程序以进行授权

编辑
  1. 在左侧边栏的底部,单击 </> 开发人员控制台
  2. 单击您的应用程序,该应用程序现在应该有一个额外的 授权 选项卡,因此单击此选项卡
  3. 单击 检查并提交,添加评论以解释您的更改,然后单击 提交

Box 管理控制台授权应用程序

编辑

如果您是 admin 用户,您可以自己完成此操作,否则请联系管理员以确认您的动机并请求他们授权您的请求,因为他们可能需要一些时间才能知道您的请求。

要授权应用程序,请确保您已登录到 管理控制台并按照以下步骤操作

  1. 在左侧边栏中,单击 应用程序
  2. 单击 自定义应用程序管理器选项卡,您应该在 服务器身份验证应用程序下看到您的应用程序,并且 授权状态应为 等待重新授权

  3. 单击您的应用程序,它应具有以下 应用程序详细信息

    • 上次活动

      • <日期>

    • 开发人员电子邮件

      • <您的电子邮件>

    • 授权状态

      • 等待重新授权

    • 启用状态

      • 已启用

    • 客户端 ID

      • <字母数字 ID>

    • 应用访问

      • 所有用户

    • 应用范围

      • 读取和写入 Box 中存储的所有文件和文件夹
      • 管理企业属性
      • 管理用户
      • 管理应用用户
      • 生成用户访问令牌

    • 身份验证类型

      • 带有客户端凭据授权的 OAuth 2.0
  4. 单击 授权 - 一个弹出窗口将再次确认这些详细信息

  5. 单击 授权 - 授权状态应更新为

    • 已授权

找到 Box 事件的 Elastic 集成设置

编辑
客户端 ID
编辑

单击 Box 开发人员控制台中的应用程序,在 配置 选项卡下,向下滚动到 OAuth 2.0 凭据并复制 客户端 ID

客户端密钥
编辑

准备好您的 2FA 设备并将其放在手边。单击 Box 开发人员控制台中的应用程序,在 配置 选项卡下,向下滚动到 OAuth 2.0 凭据,然后单击 获取客户端密钥。完成 2FA 质询以复制 客户端密钥

Box 主题 ID
编辑

单击 Box 开发人员控制台中的应用程序,在 常规设置选项卡下,向下滚动到 应用信息。如果您打算仅为 admin 用户收集事件,请复制 用户 ID,否则请复制 企业 ID

Box 主题类型
编辑

如果您打算仅为 admin 用户收集事件,请将其设置为 user,否则设置为 enterprise

授权类型
编辑

使用提供的默认值 client_credentials

间隔
编辑

这将设置对目标服务的请求之间的间隔,例如,300 秒 将每 300 秒发送一次请求。事件将以最多 100 个批次返回,在配置的 间隔 过期后进行连续调用,因此您可能希望在预期大量事件时指定较低的间隔,但是,我们建议在使用较低设置时考虑带宽

流类型
编辑

要检索单个用户的事件,请将流类型设置为 all (默认)。要仅选择可能导致文件树更改的事件(例如文件更新或协作),请使用 changes。要选择同步文件夹的 changes 的子集,请使用 sync。要检索整个企业的事件,请将 stream_type 设置为 admin_logs_streaming 以进行新事件的实时监控,或设置为 admin_logs 以查询历史事件。

保留原始事件
编辑

保留原始事件的原始副本,添加到字段 event.original

导出的字段
字段 描述 类型

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必需字段。

日期

box.additional_details.shield_alert.alert_id

Box Shield 警报 ID

长整数

box.additional_details.shield_alert.alert_summary.anomaly_period.date_range.end_date

上次观察到异常的时间

关键词

box.additional_details.shield_alert.alert_summary.anomaly_period.date_range.start_date

上次观察到异常的时间

关键词

box.additional_details.shield_alert.alert_summary.anomaly_period.download_size

Box Shield 检测到的与可能窃取敏感内容的帐户持有人相关的异常下载量

关键词

box.additional_details.shield_alert.alert_summary.anomaly_period.downloaded_files_count

Box Shield 检测到的与可能窃取敏感内容的帐户持有人相关的异常下载次数

长整数

box.additional_details.shield_alert.alert_summary.description

警报描述

关键词

box.additional_details.shield_alert.alert_summary.download_delta_percent

相对于历史期望的异常增量百分比

长整数

box.additional_details.shield_alert.alert_summary.download_delta_size

相对于历史期望的异常增量大小

关键词

box.additional_details.shield_alert.alert_summary.download_ips.ip

IP 地址

ip

box.additional_details.shield_alert.alert_summary.historical_period.date_range.end_date

用于计算历史期望的历史周期的结束日期

关键词

box.additional_details.shield_alert.alert_summary.historical_period.date_range.start_date

用于计算历史期望的历史周期的开始日期

关键词

box.additional_details.shield_alert.alert_summary.historical_period.download_size

Box Shield 检测到的与可能窃取敏感内容的帐户持有人相关的异常下载量

关键词

box.additional_details.shield_alert.alert_summary.historical_period.downloaded_files_count

Box Shield 检测到的与可能窃取敏感内容的帐户持有人相关的异常下载次数

长整数

box.additional_details.shield_alert.alert_summary.upload_activity.event_type

事件类型,例如 Upload

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.ip_info.ip

IP 地址

ip

box.additional_details.shield_alert.alert_summary.upload_activity.ip_info.registrant

IP 注册人

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.item_id

项目 ID

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.item_name

项目名称

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.item_path

项目路径

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.item_type

项目类型

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.occurred_at

上传时间

关键词

box.additional_details.shield_alert.alert_summary.upload_activity.service_name

用于上传可疑恶意软件的服务

关键词

box.additional_details.shield_alert.created_at

警报创建时间

日期

box.additional_details.shield_alert.link

包含此警报信息的 URL

关键词

box.additional_details.shield_alert.malware_info.categories

恶意软件类别数组,例如 广告软件, 间谍软件

关键词

box.additional_details.shield_alert.malware_info.description

描述恶意软件

关键词

box.additional_details.shield_alert.malware_info.detail_link

包含恶意软件详细信息的 URL

关键词

box.additional_details.shield_alert.malware_info.family

恶意软件家族

关键词

box.additional_details.shield_alert.malware_info.file_created

文件创建日期

日期

box.additional_details.shield_alert.malware_info.file_created_by.email

文件创建者的电子邮件

关键词

box.additional_details.shield_alert.malware_info.file_created_by.id

文件创建者的 ID。Box Shield 文档示例使用 long,而不是 string

长整数

box.additional_details.shield_alert.malware_info.file_created_by.name

文件创建者的显示名称

关键词

box.additional_details.shield_alert.malware_info.file_hash

文件哈希

关键词

box.additional_details.shield_alert.malware_info.file_hash_type

哈希类型,例如 SHA-1

关键词

box.additional_details.shield_alert.malware_info.file_id

文件 ID

长整数

box.additional_details.shield_alert.malware_info.file_name

文件名

关键词

box.additional_details.shield_alert.malware_info.file_size_bytes

文件大小(字节)

长整数

box.additional_details.shield_alert.malware_info.file_version

文件版本

长整数

box.additional_details.shield_alert.malware_info.file_version_uploaded

此版本文件的上传日期

日期

box.additional_details.shield_alert.malware_info.file_version_uploaded_by.email

文件上传者的电子邮件

关键词

box.additional_details.shield_alert.malware_info.file_version_uploaded_by.id

文件上传者的 ID

长整数

box.additional_details.shield_alert.malware_info.file_version_uploaded_by.name

文件上传者的显示名称

关键词

box.additional_details.shield_alert.malware_info.first_seen

首次观察到恶意软件的时间

日期

box.additional_details.shield_alert.malware_info.last_seen

最后一次观察到恶意软件的时间

日期

box.additional_details.shield_alert.malware_info.malware_name

恶意软件名称

关键词

box.additional_details.shield_alert.malware_info.status

恶意软件状态,例如 恶意

关键词

box.additional_details.shield_alert.malware_info.tags

恶意软件标签数组,例如 FILE_MALICIOUS_EXECUTION

关键词

box.additional_details.shield_alert.priority

Box Shield 警报优先级

关键词

box.additional_details.shield_alert.risk_score

Box Shield 计算的风险评分

长整数

box.additional_details.shield_alert.rule_category

Box Shield 分配的规则类别

关键词

box.additional_details.shield_alert.rule_id

Box Shield 规则 ID

长整数

box.additional_details.shield_alert.rule_name

Box Shield 规则名称

关键词

box.additional_details.shield_alert.user.email

用户电子邮件

关键词

box.additional_details.shield_alert.user.id

用户 ID

长整数

box.additional_details.shield_alert.user.name

用户名

关键词

box.created_at

事件对象创建时间

日期

box.created_by.id

连接用户的唯一标识符。

关键词

box.created_by.login

连接用户的主电子邮件地址。从 **.login 映射

关键词

box.created_by.name

连接用户的显示名称。从 **.name 映射

关键词

box.created_by.type

例如 用户

关键词

box.ip_address

IP 地址

关键词

box.recorded_at

此事件发生时的日期和时间

日期

box.session.id

Box session_id 字段

关键词

box.source.address

与事件关联的物理地址

关键词

box.source.avatar_url

用户头像的 URL

布尔值

box.source.created_at

此文件夹最初创建的日期和时间

日期

box.source.created_by.id

此用户的唯一标识符

关键词

box.source.created_by.login

此用户的主电子邮件地址。从 **.login 映射

关键词

box.source.created_by.name

此用户的显示名称。从 **.name 映射

关键词

box.source.created_by.type

值始终为 user

关键词

box.source.description

此文件夹的可选描述

文本

box.source.etag

此文件夹的 HTTP etag

关键词

box.source.file_version.id

表示文件版本的唯一标识符

关键词

box.source.file_version.type

值始终为 file_version

关键词

box.source.id

表示文件夹的唯一标识符

关键词

box.source.item_status

定义此项目是否已删除。当项目不在回收站中时为 active;当项目已移动到回收站但未删除时为 trashed;当项目已被永久删除时为 deleted。值为 active, trashed, deleted 之一

关键词

box.source.job_title

用户职位

布尔值

box.source.language

用户首选语言

布尔值

box.source.login

用户登录

布尔值

box.source.max_upload_size

最大上传大小

布尔值

box.source.modified_at

此文件夹上次更新的日期和时间

日期

box.source.modified_by.id

上次修改文件的用户的唯一标识符。

关键词

box.source.modified_by.login

此用户的主电子邮件地址。从 **.login 映射

关键词

box.source.modified_by.name

此用户的显示名称。从 **.name 映射

关键词

box.source.modified_by.type

值始终为 user

关键词

box.source.notification_email.email

用于发送通知的电子邮件

布尔值

box.source.notification_email.is_confirmed

如果 notification_email.email 已确认,则为 True,否则为 false

布尔值

box.source.owned_by.id

此用户的唯一标识符

关键词

box.source.owned_by.login

此用户的主电子邮件地址。从 **.login 映射

关键词

box.source.owned_by.name

此用户的显示名称。从 **.name 映射

关键词

box.source.owned_by.type

值始终为 user

关键词

box.source.parent.etag

此文件夹的 HTTP etag

关键词

box.source.parent.id

表示文件夹的唯一标识符

关键词

box.source.parent.name

文件夹的名称

关键词

box.source.parent.sequence_id

一个数值标识符,表示已应用于此项目(父项)的最新用户事件

关键词

box.source.parent.type

值始终为 folder

关键词

box.source.path_collection.entries.etag

此文件夹的 HTTP etag

关键词

box.source.path_collection.entries.id

表示文件夹的唯一标识符。此字段是一个数组

关键词

box.source.path_collection.entries.name

父文件夹的名称。此字段是一个数组

关键词

box.source.path_collection.entries.sequence_id

一个数值标识符,表示已应用于此项目的最新用户事件

关键词

box.source.path_collection.entries.type

值始终为 folder。此字段是一个数组

关键词

box.source.path_collection.total_count

此列表中的文件夹数量

长整数

box.source.phone

电话号码

布尔值

box.source.purged_at

此文件预计从回收站清除的时间

布尔值

box.source.sequence_id

一个数值标识符,表示已应用于此项目的最新用户事件

关键词

box.source.sha1

相关项目的 SHA1 哈希

关键词

box.source.space_amount

空间量

布尔值

box.source.space_used

已用空间

布尔值

box.source.status

例如:active

布尔值

box.source.synced

与 Box Desktop 兼容的旧属性

布尔值

box.source.timezone

时区

布尔值

box.source.trashed_at

此文件放入回收站的时间

布尔值

cloud.image.id

云实例的镜像 ID。

关键词

data_stream.dataset

该字段可以包含任何有意义的表示数据来源的信息。示例包括 nginx.accessprometheusendpoint 等。对于其他方面合适,但未设置数据集的数据流,我们将数据集值使用“generic”值。event.dataset 应与 data_stream.dataset 的值相同。除了上面提到的 Elasticsearch 数据流命名标准外,dataset 值还有其他限制:* 不能包含 - * 不得超过 100 个字符

常量关键字

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,数据流命名方案现在将此最佳实践作为默认设置。许多用户将在此字段中填充 default。如果未使用任何值,则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准外,namespace 值还有其他限制:* 不能包含 - * 不得超过 100 个字符

常量关键字

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

常量关键字

event.dataset

数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议但不要求数据集名称以模块名称开头,后跟一个点,然后是数据集名称。

常量关键字

event.module

此数据来自的模块名称。如果您的监控代理支持模块或插件的概念来处理给定来源的事件(例如,Apache 日志),则 event.module 应包含此模块的名称。

常量关键字

host.containerized

如果主机是容器。

布尔值

host.cpu.pct

CPU 使用百分比。该值已通过 CPU 核心数进行标准化,范围为 0 到 1。

scaled_float

host.network.in.bytes

在给定时间段内,主机在所有网络接口上接收的字节数。

长整数

host.network.in.packets

在给定时间段内,主机在所有网络接口上接收的数据包数。

长整数

host.network.out.bytes

在给定时间段内,主机在所有网络接口上发送的字节数。

长整数

host.network.out.packets

在给定时间段内,主机在所有网络接口上发送的数据包数。

长整数

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号(如果有)。

关键词

input.type

Filebeat 输入的类型。

关键词

related.description

threat[.enrichments].indicator.description 派生的 description 数组

关键词

related.indicator_type

threat[.enrichments].indicator.type 派生的 indicator_type 数组

关键词

related.location

related.ip 派生的 location 数组

geo_point

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

2.11.0

增强 (查看拉取请求)
将 "preserve_original_event" 标记添加到 event.kind 设置为 "pipeline_error" 的文档中。

8.13.0 或更高版本

2.10.0

增强 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

2.9.1

增强 (查看拉取请求)
修复空 API 响应的处理。

8.13.0 或更高版本

2.9.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板导致冗余的 ECS 字段。

8.13.0 或更高版本

2.8.0

增强 (查看拉取请求)
使用 event_id 字段进行文档指纹识别。

8.12.0 或更高版本

2.7.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

8.12.0 或更高版本

2.6.0

增强 (查看拉取请求)
将敏感值设置为 secret。

8.12.0 或更高版本

2.5.1

增强 (查看拉取请求)
已更改所有者

8.7.1 或更高版本

2.5.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为 5。

8.7.1 或更高版本

2.4.0

增强 (查看拉取请求)
ECS 版本已更新为 8.11.0。

8.7.1 或更高版本

2.3.0

增强 (查看拉取请求)
改进对 event.original 的检查,以避免在设置时出错。

8.7.1 或更高版本

2.2.0

增强 (查看拉取请求)
修改了字段定义以尽可能引用 ECS,并删除无效的字段属性。

8.7.1 或更高版本

2.1.0

增强 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.7.1 或更高版本

2.0.0

增强 (查看拉取请求)
对齐了 ECS 分类字段,并将软件包更新到 ECS 8.10.0。

8.7.1 或更高版本

1.9.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并显示在安全解决方案 UI 中。

8.7.1 或更高版本

1.8.0

增强 (查看拉取请求)
将 package-spec 更新为 2.10.0。

8.7.1 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.9.0。

8.7.1 或更高版本

1.6.0

增强 (查看拉取请求)
记录有效的持续时间单位。

8.7.1 或更高版本

1.5.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.7.1 或更高版本

1.4.0

增强 (查看拉取请求)
清理 IP 值。

8.7.1 或更高版本

1.3.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.8.0。

8.7.1 或更高版本

1.2.0

增强 (查看拉取请求)
添加一个新标志以启用请求跟踪

8.7.1 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.7.0。

7.17.0 或更高版本
8.3.0 或更高版本

1.0.0

增强 (查看拉取请求)
正式发布 Box Events。

7.17.0 或更高版本
8.3.0 或更高版本

0.4.1

增强 (查看拉取请求)
添加了类别和/或子类别。

0.4.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.6.0。

0.3.0

增强 (查看拉取请求)
整合所有事件流以减少带宽

0.2.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

0.1.0

增强 (查看拉取请求)
软件包的初始 beta 版本

« BBOT 集成 Bravura Monitor 集成 »