- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
Microsoft Entra ID 实体分析
编辑Microsoft Entra ID 实体分析
编辑此集成从 Microsoft Entra ID(以前的 Azure Active Directory)检索用户和设备以及组成员身份。
兼容性
编辑此模块已针对 Microsoft Graph REST API v1.0 进行过测试。
数据流
编辑Microsoft Entra ID 实体分析集成收集两种类型的数据:用户和设备。
配置集成时,用户可以使用 数据集 下拉选项来选择要从 Microsoft Entra ID 收集的数据类型。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要使用 Elastic Agent 通过实体分析输入来流式传输数据,并将数据发送到 Elastic,然后在 Elastic 中,事件将通过集成的摄取管道进行处理。
安装和管理 Elastic Agent
编辑您可以通过几种方式安装和管理 Elastic Agent
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像均可从 Elastic Docker 注册表中获取,我们还提供在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关详细信息,请参阅此处的链接。
所需的最低 kibana.version 为 8.11.0。
设置
编辑从 Microsoft Graph REST API 收集数据
编辑为了使集成有效工作,必须授予所需的 Azure API 权限
| 权限 | 类型 |
|---|---|
GroupMember.Read.All |
应用程序 |
User.Read.All |
应用程序 |
Device.Read.All |
应用程序 |
有关如何设置必要的应用程序注册、权限授予和机密配置的完整指南,请遵循此指南。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入“Microsoft Entra ID 实体分析”。
- 从搜索结果中单击“Microsoft Entra ID 实体分析”集成。
- 单击“添加 Microsoft Entra ID 实体分析集成”按钮以添加集成。
- 添加集成时,添加我们之前获得的租户 ID、客户端(应用程序)ID 和机密(API 密钥)。
- 通过添加其他必要参数来保存集成。
用法
编辑集成会定期使用 Graph API 联系 Microsoft Entra ID,检索用户、设备和组的更新,更新其内部用户和设备元数据缓存以及组成员身份信息,并将更新后的用户元数据发送到 Elasticsearch。
获取和发送更新在两个流程中进行:完全同步和增量更新。完全同步将发送状态中的整个用户和设备列表,以及指示同步事件开始和结束的写入标记。增量更新只会发送该事件期间已更改的用户和设备的数据。用户或设备的更改可以有多种形式,无论是用户或设备元数据的更改、添加或删除的用户/设备,还是组成员身份已更改(直接或传递)。默认情况下,完全同步每 24 小时发生一次,增量更新每 15 分钟发生一次。这些间隔可以自定义以适应您的用例。
示例事件
编辑用户文档
{ "@timestamp": "2022-11-04T09:57:19.786056-05:00", "event": { "action": "user-discovered" }, "azure_ad": { "userPrincipalName": "example.user@example.com", "mail": "example.user@example.com", "displayName": "Example User", "givenName": "Example", "surname": "User", "jobTitle": "Software Engineer", "mobilePhone": "123-555-1000", "businessPhones": [ "123-555-0122" ] }, "user": { "id": "5ebc6a0f-05b7-4f42-9c8a-682bbc75d0fc", "group": [ { "id": "331676df-b8fd-4492-82ed-02b927f8dd80", "name": "group1" }, { "id": "d140978f-d641-4f01-802f-4ecc1acf8935", "name": "group2" } ] }, "labels": { "identity_source": "azure-1" } }
设备文档
{ "@timestamp": "2022-11-04T09:57:19.786056-05:00", "event": { "action": "device-discovered" }, "azure_ad": { "accountEnabled": true, "displayName": "DESKTOP-LETW452G", "operatingSystem": "Windows", "operatingSystemVersion": "10.0.19043.1337", "physicalIds": { "extensionAttributes": { "extensionAttribute1": "BYOD-Device" } }, "alternativeSecurityIds": [ { "type": 2, "identityProvider": null, "key": "DGFSGHSGGTH345A...35DSFH0A" } ] }, "device": { "id": "2fbbb8f9-ff67-4a21-b867-a344d18a4198", "group": [ { "id": "331676df-b8fd-4492-82ed-02b927f8dd80", "name": "group1" } ] }, "labels": { "identity_source": "azure-1" } }
完全同步将在两侧由“写入标记”文档进行界定。
{ "@timestamp": "2022-11-04T09:57:19.786056-05:00", "event": { "action": "started", "start": "2022-11-04T09:57:19.786056-05:00" }, "labels": { "identity_source": "azure-1" } }
日志参考
编辑实体
编辑这是 实体 数据集。
示例
一个 entity 的示例事件如下所示
{ "@timestamp": "2023-10-10T18:07:24.682Z", "agent": { "ephemeral_id": "f3f1bfb7-14d6-4f81-abf2-96c6d4a03158", "id": "15e5a007-7f90-47f5-be2c-f8f167a4d8ba", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.11.0" }, "data_stream": { "dataset": "entityanalytics_entra_id.entity", "namespace": "ep", "type": "logs" }, "ecs": { "version": "8.11.0" }, "elastic_agent": { "id": "15e5a007-7f90-47f5-be2c-f8f167a4d8ba", "snapshot": true, "version": "8.11.0" }, "event": { "action": "started", "agent_id_status": "verified", "dataset": "entityanalytics_entra_id.entity", "ingested": "2023-10-10T18:07:27Z", "kind": "asset", "start": "2023-10-10T18:07:24.682Z" }, "input": { "type": "entity-analytics" }, "labels": { "identity_source": "entity-analytics-entityanalytics_entra_id.entity-790e3b22-3c7a-48ed-a5e8-9188d8ef1e1f" }, "tags": [ "all-entities", "forwarded", "entityanalytics_entra_id-entity" ] }
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
asset.category |
关键字 |
|
asset.first_seen |
日期 |
|
asset.group.id |
关键字 |
|
asset.group.name |
关键字 |
|
asset.id |
关键字 |
|
asset.is_managed |
布尔值 |
|
asset.last_seen |
日期 |
|
asset.last_updated |
日期 |
|
asset.model |
关键字 |
|
asset.name |
关键字 |
|
asset.status |
关键字 |
|
asset.tags |
关键字 |
|
asset.type |
关键字 |
|
asset.vendor |
关键字 |
|
asset.version |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
device.group.id |
关键字 |
|
device.group.name |
关键字 |
|
device.registered_owners.business_phones |
关键字 |
|
device.registered_owners.display_name |
关键字 |
|
device.registered_owners.given_name |
关键字 |
|
device.registered_owners.id |
关键字 |
|
device.registered_owners.job_title |
关键字 |
|
device.registered_owners.mail |
关键字 |
|
device.registered_owners.mobile_phone |
关键字 |
|
device.registered_owners.surname |
关键字 |
|
device.registered_owners.user_principal_name |
关键字 |
|
device.registered_users.business_phones |
关键字 |
|
device.registered_users.display_name |
关键字 |
|
device.registered_users.given_name |
关键字 |
|
device.registered_users.id |
关键字 |
|
device.registered_users.job_title |
关键字 |
|
device.registered_users.mail |
关键字 |
|
device.registered_users.mobile_phone |
关键字 |
|
device.registered_users.surname |
关键字 |
|
device.registered_users.user_principal_name |
关键字 |
|
entityanalytics_entra_id.device.account_enabled |
如果帐户已启用,则为 true;否则为 false。默认为 true。 |
布尔值 |
entityanalytics_entra_id.device.alternative_security_ids.identity_provider |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.alternative_security_ids.key |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.alternative_security_ids.type |
仅供内部使用。 |
长整型 |
entityanalytics_entra_id.device.approximate_last_sign_in_date_time |
时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.category |
由 Intune 设置的用户定义属性,用于自动将设备添加到组并简化设备管理。 |
关键字 |
entityanalytics_entra_id.device.compliance_expiration_date_time |
设备不再被视为合规的时间戳。时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.d_id |
Azure 设备注册服务在注册时设置的唯一标识符。这是可用于引用设备对象的备用键。 |
关键字 |
entityanalytics_entra_id.device.display_name |
设备的显示名称。 |
关键字 |
entityanalytics_entra_id.device.enrollment_profile_name |
应用于设备的注册配置文件。例如,Apple 设备注册配置文件、设备注册 - 公司设备标识符或 Windows Autopilot 配置文件名称。此属性由 Intune 设置。 |
关键字 |
entityanalytics_entra_id.device.extension_attributes |
包含设备的扩展属性 1-15。各个扩展属性不可选择。这些属性在云中进行主控,并且可以在创建或更新 Azure AD 中的设备对象期间设置。 |
对象 |
entityanalytics_entra_id.device.group.id |
组的唯一标识符。 |
关键字 |
entityanalytics_entra_id.device.group.name |
组的显示名称。 |
关键字 |
entityanalytics_entra_id.device.id |
设备的唯一标识符。继承自 directoryObject。 |
关键字 |
entityanalytics_entra_id.device.is_compliant |
如果设备符合移动设备管理 (MDM) 策略,则为 true;否则为 false。这只能由 Intune 为任何设备操作系统类型或由批准的 MDM 应用程序为 Windows 操作系统设备更新。 |
布尔值 |
entityanalytics_entra_id.device.is_managed |
如果设备由移动设备管理 (MDM) 应用程序管理,则为 true;否则为 false。这只能由 Intune 为任何设备操作系统类型或由批准的 MDM 应用程序为 Windows 操作系统设备更新。 |
布尔值 |
entityanalytics_entra_id.device.manufacturer |
设备的制造商。 |
关键字 |
entityanalytics_entra_id.device.mdm_app_id |
用于将设备注册到 MDM 的应用程序标识符。 |
关键字 |
entityanalytics_entra_id.device.metadata |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.model |
设备的型号。 |
关键字 |
entityanalytics_entra_id.device.on_premises_last_sync_date_time |
该对象与本地目录同步的最后时间。时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.on_premises_sync_enabled |
如果此对象是从本地目录同步的,则为 true;如果此对象最初是从本地目录同步的,但不再同步,则为 false;如果此对象从未从本地目录同步(默认值),则为 null。 |
布尔值 |
entityanalytics_entra_id.device.operating_system |
设备上的操作系统类型。 |
关键字 |
entityanalytics_entra_id.device.operating_system_version |
设备上的操作系统版本。 |
关键字 |
entityanalytics_entra_id.device.ownership |
设备的所有权。此属性由 Intune 设置。可能的值为:未知、公司、个人。 |
关键字 |
entityanalytics_entra_id.device.physical_ids |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.profile_type |
设备的配置文件类型。可能的值:RegisteredDevice(默认)、SecureVM、Printer、Shared、IoT。 |
关键字 |
entityanalytics_entra_id.device.registered_owners.business_phones |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.display_name |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.given_name |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.id |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.job_title |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.mail |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.mobile_phone |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.surname |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.user_principal_name |
关键字 |
|
entityanalytics_entra_id.device.registered_users.business_phones |
关键字 |
|
entityanalytics_entra_id.device.registered_users.display_name |
关键字 |
|
entityanalytics_entra_id.device.registered_users.given_name |
关键字 |
|
entityanalytics_entra_id.device.registered_users.id |
关键字 |
|
entityanalytics_entra_id.device.registered_users.job_title |
关键字 |
|
entityanalytics_entra_id.device.registered_users.mail |
关键字 |
|
entityanalytics_entra_id.device.registered_users.mobile_phone |
关键字 |
|
entityanalytics_entra_id.device.registered_users.surname |
关键字 |
|
entityanalytics_entra_id.device.registered_users.user_principal_name |
关键字 |
|
entityanalytics_entra_id.device.registration_date_time |
设备注册的日期和时间。时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.system_labels |
系统应用于设备的标签列表。 |
关键字 |
entityanalytics_entra_id.device.trust_type |
加入设备的信任类型。只读。可能的值:Workplace(表示自带个人设备)、AzureAd(仅云加入的设备)、ServerAd(加入到 Azure AD 的本地域加入设备)。 |
关键字 |
entityanalytics_entra_id.device.version |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.user.account_enabled |
如果帐户已启用,则为 true;否则为 false。 |
布尔值 |
entityanalytics_entra_id.user.business_phones |
用户的电话号码。 |
关键字 |
entityanalytics_entra_id.user.display_name |
用户在地址簿中显示的名称。这通常是用户的名字、中间名首字母和姓氏的组合。 |
关键字 |
entityanalytics_entra_id.user.given_name |
用户的名字(名)。最大长度为 64 个字符。 |
关键字 |
entityanalytics_entra_id.user.group.id |
组的唯一标识符。 |
关键字 |
entityanalytics_entra_id.user.group.name |
组的显示名称。 |
关键字 |
entityanalytics_entra_id.user.id |
用户的唯一标识符。应视为不透明的标识符。继承自 directoryObject。 |
关键字 |
entityanalytics_entra_id.user.job_title |
用户的职位。最大长度为 128 个字符。 |
关键字 |
entityanalytics_entra_id.user.mail |
用户的 SMTP 地址。 |
关键字 |
entityanalytics_entra_id.user.mobile_phone |
用户的主要手机号码。对于从本地目录同步的用户,此字段为只读。最大长度为 64 个字符。 |
关键字 |
entityanalytics_entra_id.user.office_location |
用户工作场所的办公室位置。 |
关键字 |
entityanalytics_entra_id.user.preferred_language |
用户的首选语言。应遵循 ISO 639-1 代码;例如 en-US。 |
关键字 |
entityanalytics_entra_id.user.surname |
用户的姓氏(家族名称或姓氏)。最大长度为 64 个字符。 |
关键字 |
entityanalytics_entra_id.user.user_principal_name |
用户的用户主体名称 (UPN)。UPN 是基于 Internet 标准 RFC 822 的用户的 Internet 样式登录名。按照惯例,这应该映射到用户的电子邮件名称。通用格式为 alias@domain,其中 domain 必须存在于租户的已验证域集合中。 |
关键字 |
event.dataset |
数据集的名称。 |
constant_keyword |
event.message |
为在日志查看器中查看而优化的日志消息。 |
text |
event.module |
此数据来自的模块的名称。 |
constant_keyword |
event.provider |
事件类型。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
关键字 |
labels.identity_source |
关键字 |
|
log.flags |
日志文件的标志。 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
user.enabled |
布尔值 |
|
user.first_name |
关键字 |
|
user.group.id |
关键字 |
|
user.group.name |
关键字 |
|
user.job_title |
关键字 |
|
user.last_name |
关键字 |
|
user.phone |
关键字 |
|
user.work.location_name |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.4.0 |
增强功能 (查看拉取请求) |
8.15.1 或更高版本 |
1.3.1 |
Bug 修复 (查看拉取请求) |
8.15.1 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.15.1 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.1 |
增强功能 (查看拉取请求) |
8.11.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.11.0 或更高版本 |
0.6.1 |
增强功能 (查看拉取请求) |
— |
0.6.0 |
增强功能 (查看拉取请求) |
— |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |
On this page