« ActiveMQ 集成 Airflow 集成 »
Elastic 文档 Elastic 集成

Active Directory 实体分析

编辑

Active Directory 实体分析

编辑

版本

0.5.0 [测试版] 此功能为测试版,可能会发生变更。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。 (查看全部)

兼容的 Kibana 版本

8.16.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此 Active Directory 实体分析集成允许用户通过 Active Directory LDAP 查找,安全地将用户实体数据流式传输到 Elastic Security。与 Elastic Security 集成后,可以在 Elastic 中利用此宝贵数据进行风险评分场景(例如,上下文丰富)和检测高级分析 (UBA) 用例。

数据流

编辑

Active Directory 实体分析集成收集一种类型的数据:用户。

  • 用户 用于检索 Active Directory 服务器中所有可用的用户条目。

要求

编辑

必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅Elastic Agent 安装指南

安装和管理 Elastic Agent

编辑

有几种安装和管理 Elastic Agent 的选项

安装 Fleet 管理的 Elastic Agent(推荐)

编辑

使用这种方法,您可以安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得容易得多。

以独立模式安装 Elastic Agent(高级用户)

编辑

使用这种方法,您可以安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。

在容器化环境中安装 Elastic Agent

编辑

您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,并且我们为在 Kubernetes 上运行提供了部署清单。

请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅Elastic Agent 最低要求

设置

编辑

要从 Active Directory 收集数据,请按照以下步骤操作

编辑
  • 获取 LDAP 用户名(例如,CN=Administrator,CN=Users,DC=testserver,DC=local)和密码,以及您将从中收集数据的 Active Directory 服务器的 LDAP 主机地址。
  • 确定要使用的目录的基本 DN,例如 CN=Users,DC=testserver,DC=local

在 Elastic 中启用集成

编辑
  1. 在 Kibana 中,导航至“管理”>“集成”。
  2. 在顶部的“搜索集成”栏中,搜索 Active Directory 实体分析
  3. 从搜索结果中选择“Active Directory 实体分析”集成。
  4. 选择“添加 Active Directory 实体分析集成”以添加集成。
  5. 在添加集成时,添加上面获取的用户、主机和基本 DN 详细信息。
  6. 通过添加其他必要的参数来保存集成。

使用

编辑

Active Directory 提供程序定期联系服务器,检索用户的更新,更新其内部用户元数据缓存,并将更新的用户元数据发送到 Elasticsearch。

提取和发送更新发生在两个过程中的一个中:完全同步增量更新。完全同步将发送状态中的整个用户列表,以及指示同步事件开始和结束的写入标记。增量更新只会发送该事件期间已更改用户的数据。用户更改可能以多种形式出现,无论是更改用户的元数据,还是添加或删除用户。默认情况下,完全同步每 24 小时进行一次,增量更新每 15 分钟进行一次。可以自定义这些间隔以适合您的用例。

日志参考

编辑

用户

编辑

这是 用户 数据集。

示例

以下是 user 的示例事件

{
    "@timestamp": "2024-04-02T02:44:08.198Z",
    "agent": {
        "ephemeral_id": "c8f2cffa-8316-41a2-8ad6-89ef2f3ecd2b",
        "id": "277a9e26-8aae-4bc6-abcc-21db22ad29d7",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "asset": {
        "category": "entity",
        "type": "activedirectory_user"
    },
    "data_stream": {
        "dataset": "entityanalytics_ad.user",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "277a9e26-8aae-4bc6-abcc-21db22ad29d7",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "started",
        "agent_id_status": "verified",
        "category": [
            "iam"
        ],
        "dataset": "entityanalytics_ad.user",
        "ingested": "2024-04-02T02:44:20Z",
        "kind": "asset",
        "start": "2024-04-02T02:44:08.198Z",
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "entity-analytics"
    },
    "labels": {
        "identity_source": "entity-analytics-entityanalytics_ad.user-2270bd23-5392-4185-959b-b01ac2b8d89a"
    },
    "tags": [
        "users-entities",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "entityanalytics_ad-user"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

asset.category

关键字

asset.costCenter

关键字

asset.create_date

日期

asset.id

关键字

asset.last_seen

日期

asset.last_status_change_date

日期

asset.last_updated

日期

asset.name

关键字

asset.status

关键字

asset.type

关键字

asset.vendor

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

entityanalytics_ad.groups.admin_count

关键字

entityanalytics_ad.groups.cn

关键字

entityanalytics_ad.groups.description

关键字

entityanalytics_ad.groups.distinguished_name

关键字

entityanalytics_ad.groups.ds_core_propagation_data

日期

entityanalytics_ad.groups.group_type

关键字

entityanalytics_ad.groups.instance_type

关键字

entityanalytics_ad.groups.is_critical_system_object

布尔值

entityanalytics_ad.groups.member

关键字

entityanalytics_ad.groups.member_of

关键字

entityanalytics_ad.groups.name

关键字

entityanalytics_ad.groups.object_category

关键字

entityanalytics_ad.groups.object_class

关键字

entityanalytics_ad.groups.object_guid

关键字

entityanalytics_ad.groups.object_sid

关键字

entityanalytics_ad.groups.sam_account_name

关键字

entityanalytics_ad.groups.sam_account_type

关键字

entityanalytics_ad.groups.usn_changed

关键字

entityanalytics_ad.groups.usn_created

关键字

entityanalytics_ad.groups.when_changed

日期

entityanalytics_ad.groups.when_created

日期

entityanalytics_ad.id

关键字

entityanalytics_ad.user.account_expires

关键字

entityanalytics_ad.user.admin_count

关键字

entityanalytics_ad.user.bad_password_time

关键字

entityanalytics_ad.user.bad_pwd_count

关键字

entityanalytics_ad.user.cn

关键字

entityanalytics_ad.user.code_page

关键字

entityanalytics_ad.user.country_code

关键字

entityanalytics_ad.user.description

关键字

entityanalytics_ad.user.distinguished_name

关键字

entityanalytics_ad.user.ds_core_propagation_data

日期

entityanalytics_ad.user.instance_type

关键字

entityanalytics_ad.user.is_critical_system_object

布尔值

entityanalytics_ad.user.last_logoff

关键字

entityanalytics_ad.user.last_logon

日期

entityanalytics_ad.user.last_logon_timestamp

日期

entityanalytics_ad.user.logon_count

关键字

entityanalytics_ad.user.member_of

关键字

entityanalytics_ad.user.msds-supported_encryption_types

关键字

entityanalytics_ad.user.name

关键字

entityanalytics_ad.user.object_category

关键字

entityanalytics_ad.user.object_class

关键字

entityanalytics_ad.user.object_guid

关键字

entityanalytics_ad.user.object_sid

关键字

entityanalytics_ad.user.primary_group_id

关键字

entityanalytics_ad.user.pwd_last_set

日期

entityanalytics_ad.user.sam_account_name

关键字

entityanalytics_ad.user.sam_account_type

关键字

entityanalytics_ad.user.service_principal_name

关键字

entityanalytics_ad.user.show_in_advanced_view_only

布尔值

entityanalytics_ad.user.user_account_control

关键字

entityanalytics_ad.user.usn_changed

关键字

entityanalytics_ad.user.usn_created

关键字

entityanalytics_ad.user.when_changed

日期

entityanalytics_ad.user.when_created

日期

entityanalytics_ad.when_changed

日期

event.dataset

事件数据集。

常量关键字

event.module

事件模块。

常量关键字

input.type

Filebeat 输入的类型。

关键字

labels.identity_source

关键字

user.account.activated_date

日期

user.account.change_date

日期

user.account.create_date

日期

user.account.password_change_date

日期

user.account.status.deprovisioned

布尔值

user.account.status.locked_out

布尔值

user.account.status.password_expired

布尔值

user.account.status.recovery

布尔值

user.account.status.suspended

布尔值

user.geo.city_name

关键字

user.geo.country_iso_code

关键字

user.geo.name

关键字

user.geo.postal_code

关键字

user.geo.region_name

关键字

user.geo.timezone

关键字

user.organization.name

关键字

user.profile.department

关键字

user.profile.first_name

关键字

user.profile.id

关键字

user.profile.job_title

关键字

user.profile.last_name

关键字

user.profile.manager

关键字

user.profile.mobile_phone

关键字

user.profile.other_identities

关键字

user.profile.primaryPhone

关键字

user.profile.secondEmail

关键字

user.profile.status

关键字

user.profile.type

关键字

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

0.5.0

增强功能 (查看拉取请求)
event.kind 设置为 “pipeline_error” 的文档添加 “preserve_original_event” 标签。

0.4.0

增强功能 (查看拉取请求)
向用户公开用户和组属性配置。

0.3.2

错误修复 (查看拉取请求)
不要泄露集合实现细节。

0.3.1

增强功能 (查看拉取请求)
更新文档。

0.3.0

增强功能 (查看拉取请求)
以规范格式格式化 SID 和 GUID。

0.2.0

增强功能 (查看拉取请求)
向用户公开分页大小配置。

0.1.0

增强功能 (查看拉取请求)
移除了 import_mappings。修改了字段定义,以删除被 ecs@mappings 组件模板冗余的 ECS 字段。

0.0.1

增强 (查看拉取请求)
首次发布。

« ActiveMQ 集成 Airflow 集成 »