Digital Guardian
编辑Digital Guardian
编辑此集成用于摄取来自 Fortra 的 Digital Guardian 的事件和警报。Fortra 的 Digital Guardian 帮助组织保护数据,在企业网络、传统端点和云应用程序中执行。Digital Guardian 的数据丢失防护,以软件即服务或托管服务的形式提供,有助于查看数据、支持合规性计划和防范严重风险。
该集成允许通过 REST API 从 Digital Guardian Analytics & Reporting Cloud (ARC) 收集事件和警报。
数据流
编辑Digital Guardian 集成收集事件以填充以下数据流
-
digital_guardian.arc:通过 REST API 从
Digital Guardian Analytics & Reporting Cloud (ARC)收集所有事件和警报。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑安装和管理 Elastic Agent 有几种选择
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过此方法,您可以安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过此方法,您可以安装 Elastic Agent,并在安装该代理的系统上本地手动配置该代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表获得,我们还提供了在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑Digital Guardian ARC
编辑复制 Digital Guardian ARC 所需的配置属性
编辑- 复制
客户端 ID:从 ARC 租户设置中,复制租户 ID。 - 复制
客户端密钥:从 ARC 租户设置中,复制身份验证令牌。 - 复制
ARC 服务器 URL:从 Digital Guardian 管理控制台 (DGMC) 中,复制访问网关基本 URL。 - 复制
授权服务器 URL:从 Digital Guardian 管理控制台 (DGMC) 中,复制授权服务器 URL。 -
复制
ARC 导出配置文件 ID- 导航到
管理 > 报告 > 导出配置文件 - 仅从导出配置文件中复制 GUID 部分。
- 导航到
在 Elastic 中启用带有 ARC 数据集的 Digital Guardian 集成
编辑- 在 Kibana 中,导航到“管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
Digital Guardian。 - 从搜索结果中选择“Digital Guardian”集成。
- 选择“添加 Digital Guardian”以添加集成。
-
配置所有必需的集成参数。
-
ARC 数据需要以下参数
-
客户端 ID -
客户端密钥 -
ARC 服务器 URL -
授权服务器 URL -
ARC 导出配置文件 ID
-
-
- 保存集成。
日志参考
编辑arc
编辑这是 arc 数据集。
@timestamp 字段将按以下优先级顺序分配多个值之一
-
digital_guardian.arc.dg_time -
digital_guardian.arc.dg_processed_time -
digital_guardian.arc.inc_mtime - 管道接收的时间(如果以上均不可用)。
示例
arc 的示例事件如下所示
{
"@timestamp": "2023-05-23T06:56:39.000Z",
"agent": {
"ephemeral_id": "bc19c27a-7a31-4b0c-b04b-b3be2ab95a02",
"id": "1edfb948-2ef5-4b96-8747-225d782bb6dd",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "digital_guardian.arc",
"namespace": "19912",
"type": "logs"
},
"digital_guardian": {
"arc": {
"dg_description": "This file outlook.exe was going to [[email protected]]",
"dg_guid": "1dc3c1fa-5474-4fc0-a7c3-74ff42d28e5e",
"dg_name": "test has attached a Salesforce data to an email",
"dg_tenant": "279b59f3-02f3-44ea-a7c3-9bac2eb0224d",
"dg_utype": "Incident",
"inc_assign": "test@dgdemo",
"inc_creator": "dg",
"inc_id": "230523-WIQHA",
"inc_mtime": "2023-05-23T06:56:39.000Z",
"inc_sev": "Critical",
"inc_state": "Created"
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "1edfb948-2ef5-4b96-8747-225d782bb6dd",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "incident-created",
"agent_id_status": "verified",
"dataset": "digital_guardian.arc",
"id": "1dc3c1fa-5474-4fc0-a7c3-74ff42d28e5e",
"ingested": "2024-07-30T15:23:06Z",
"kind": "alert",
"original": "{\"dg_comment\":\"-\",\"dg_description\":\"This file outlook.exe was going to [[email protected]]\",\"dg_guid\":\"1dc3c1fa-5474-4fc0-a7c3-74ff42d28e5e\",\"dg_name\":\"test has attached a Salesforce data to an email\",\"dg_tenant\":\"279b59f3-02f3-44ea-a7c3-9bac2eb0224d\",\"dg_utype\":\"Incident\",\"inc_assign\":\"test@dgdemo\",\"inc_creator\":\"dg\",\"inc_id\":\"230523-WIQHA\",\"inc_mtime\":\"2023-05-23 06:56:39\",\"inc_sev\":\"Critical\",\"inc_state\":\"Created\"}",
"severity": 1
},
"input": {
"type": "cel"
},
"related": {
"user": [
"dg",
"test@dgdemo"
]
},
"rule": {
"name": "test has attached a Salesforce data to an email"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"digital_guardian-arc"
],
"user": {
"name": "dg"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
digital_guardian.arc.dg_alert.alert_did |
警报 DID |
keyword |
digital_guardian.arc.dg_alert.alert_wb |
警报 WB |
integer |
digital_guardian.arc.dg_alert.dg_category_name |
警报类别名称 |
keyword |
digital_guardian.arc.dg_alert.dg_policy.dg_name |
警报策略名称 |
keyword |
digital_guardian.arc.dg_comment |
注释 |
keyword |
digital_guardian.arc.dg_description |
描述 |
keyword |
digital_guardian.arc.dg_display |
事件显示名称 |
keyword |
digital_guardian.arc.dg_file_path |
文件路径 |
keyword |
digital_guardian.arc.dg_file_size |
文件大小 |
long |
digital_guardian.arc.dg_guid |
唯一 ID |
keyword |
digital_guardian.arc.dg_mac_address |
MAC 地址 |
keyword |
digital_guardian.arc.dg_machine_name |
计算机名称 |
keyword |
digital_guardian.arc.dg_machine_type |
计算机类型 |
integer |
digital_guardian.arc.dg_name |
名称。 |
keyword |
digital_guardian.arc.dg_processed_time |
服务器处理时间 |
日期 |
digital_guardian.arc.dg_src_file_ext |
源文件扩展名 |
keyword |
digital_guardian.arc.dg_src_file_name |
源文件名 |
keyword |
digital_guardian.arc.dg_tenant |
租户 ID |
keyword |
digital_guardian.arc.dg_time |
事件时间 |
日期 |
digital_guardian.arc.dg_utype |
操作类型 |
keyword |
digital_guardian.arc.inc_assign |
事件指派人 |
keyword |
digital_guardian.arc.inc_creator |
事件创建者 |
keyword |
digital_guardian.arc.inc_id |
事件 ID |
keyword |
digital_guardian.arc.inc_mtime |
事件修改时间 |
日期 |
digital_guardian.arc.inc_sev |
事件严重性 |
keyword |
digital_guardian.arc.inc_state |
事件状态 |
keyword |
digital_guardian.arc.ua_sci |
扫描实例 |
integer |
digital_guardian.arc.ua_scn |
设备扫描名称 |
keyword |
digital_guardian.arc.ua_sn |
扫描服务器名称 |
keyword |
digital_guardian.arc.uad_sp |
源文件路径 |
keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移。 |
long |