Microsoft Entra ID 实体分析
编辑Microsoft Entra ID 实体分析
编辑此集成从 Microsoft Entra ID(以前的 Azure Active Directory)检索用户和设备以及组成员身份。
兼容性
编辑此模块已针对 Microsoft Graph REST API v1.0 进行过测试。
数据流
编辑Microsoft Entra ID 实体分析集成收集两种类型的数据:用户和设备。
配置集成时,用户可以使用 数据集 下拉选项来选择要从 Microsoft Entra ID 收集的数据类型。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要使用 Elastic Agent 通过实体分析输入来流式传输数据,并将数据发送到 Elastic,然后在 Elastic 中,事件将通过集成的摄取管道进行处理。
安装和管理 Elastic Agent
编辑您可以通过几种方式安装和管理 Elastic Agent
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像均可从 Elastic Docker 注册表中获取,我们还提供在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关详细信息,请参阅此处的链接。
所需的最低 kibana.version 为 8.11.0。
设置
编辑从 Microsoft Graph REST API 收集数据
编辑为了使集成有效工作,必须授予所需的 Azure API 权限
| 权限 | 类型 |
|---|---|
GroupMember.Read.All |
应用程序 |
User.Read.All |
应用程序 |
Device.Read.All |
应用程序 |
有关如何设置必要的应用程序注册、权限授予和机密配置的完整指南,请遵循此指南。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入“Microsoft Entra ID 实体分析”。
- 从搜索结果中单击“Microsoft Entra ID 实体分析”集成。
- 单击“添加 Microsoft Entra ID 实体分析集成”按钮以添加集成。
- 添加集成时,添加我们之前获得的租户 ID、客户端(应用程序)ID 和机密(API 密钥)。
- 通过添加其他必要参数来保存集成。
用法
编辑集成会定期使用 Graph API 联系 Microsoft Entra ID,检索用户、设备和组的更新,更新其内部用户和设备元数据缓存以及组成员身份信息,并将更新后的用户元数据发送到 Elasticsearch。
获取和发送更新在两个流程中进行:完全同步和增量更新。完全同步将发送状态中的整个用户和设备列表,以及指示同步事件开始和结束的写入标记。增量更新只会发送该事件期间已更改的用户和设备的数据。用户或设备的更改可以有多种形式,无论是用户或设备元数据的更改、添加或删除的用户/设备,还是组成员身份已更改(直接或传递)。默认情况下,完全同步每 24 小时发生一次,增量更新每 15 分钟发生一次。这些间隔可以自定义以适应您的用例。
示例事件
编辑用户文档
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "user-discovered"
},
"azure_ad": {
"userPrincipalName": "[email protected]",
"mail": "[email protected]",
"displayName": "Example User",
"givenName": "Example",
"surname": "User",
"jobTitle": "Software Engineer",
"mobilePhone": "123-555-1000",
"businessPhones": [
"123-555-0122"
]
},
"user": {
"id": "5ebc6a0f-05b7-4f42-9c8a-682bbc75d0fc",
"group": [
{
"id": "331676df-b8fd-4492-82ed-02b927f8dd80",
"name": "group1"
},
{
"id": "d140978f-d641-4f01-802f-4ecc1acf8935",
"name": "group2"
}
]
},
"labels": {
"identity_source": "azure-1"
}
}
设备文档
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "device-discovered"
},
"azure_ad": {
"accountEnabled": true,
"displayName": "DESKTOP-LETW452G",
"operatingSystem": "Windows",
"operatingSystemVersion": "10.0.19043.1337",
"physicalIds": {
"extensionAttributes": {
"extensionAttribute1": "BYOD-Device"
}
},
"alternativeSecurityIds": [
{
"type": 2,
"identityProvider": null,
"key": "DGFSGHSGGTH345A...35DSFH0A"
}
]
},
"device": {
"id": "2fbbb8f9-ff67-4a21-b867-a344d18a4198",
"group": [
{
"id": "331676df-b8fd-4492-82ed-02b927f8dd80",
"name": "group1"
}
]
},
"labels": {
"identity_source": "azure-1"
}
}
完全同步将在两侧由“写入标记”文档进行界定。
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "started",
"start": "2022-11-04T09:57:19.786056-05:00"
},
"labels": {
"identity_source": "azure-1"
}
}
日志参考
编辑实体
编辑这是 实体 数据集。
示例
一个 entity 的示例事件如下所示
{
"@timestamp": "2023-10-10T18:07:24.682Z",
"agent": {
"ephemeral_id": "f3f1bfb7-14d6-4f81-abf2-96c6d4a03158",
"id": "15e5a007-7f90-47f5-be2c-f8f167a4d8ba",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.11.0"
},
"data_stream": {
"dataset": "entityanalytics_entra_id.entity",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "15e5a007-7f90-47f5-be2c-f8f167a4d8ba",
"snapshot": true,
"version": "8.11.0"
},
"event": {
"action": "started",
"agent_id_status": "verified",
"dataset": "entityanalytics_entra_id.entity",
"ingested": "2023-10-10T18:07:27Z",
"kind": "asset",
"start": "2023-10-10T18:07:24.682Z"
},
"input": {
"type": "entity-analytics"
},
"labels": {
"identity_source": "entity-analytics-entityanalytics_entra_id.entity-790e3b22-3c7a-48ed-a5e8-9188d8ef1e1f"
},
"tags": [
"all-entities",
"forwarded",
"entityanalytics_entra_id-entity"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
asset.category |
关键字 |
|
asset.first_seen |
日期 |
|
asset.group.id |
关键字 |
|
asset.group.name |
关键字 |
|
asset.id |
关键字 |
|
asset.is_managed |
布尔值 |
|
asset.last_seen |
日期 |
|
asset.last_updated |
日期 |
|
asset.model |
关键字 |
|
asset.name |
关键字 |
|
asset.status |
关键字 |
|
asset.tags |
关键字 |
|
asset.type |
关键字 |
|
asset.vendor |
关键字 |
|
asset.version |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
device.group.id |
关键字 |
|
device.group.name |
关键字 |
|
device.registered_owners.business_phones |
关键字 |
|
device.registered_owners.display_name |
关键字 |
|
device.registered_owners.given_name |
关键字 |
|
device.registered_owners.id |
关键字 |
|
device.registered_owners.job_title |
关键字 |
|
device.registered_owners.mail |
关键字 |
|
device.registered_owners.mobile_phone |
关键字 |
|
device.registered_owners.surname |
关键字 |
|
device.registered_owners.user_principal_name |
关键字 |
|
device.registered_users.business_phones |
关键字 |
|
device.registered_users.display_name |
关键字 |
|
device.registered_users.given_name |
关键字 |
|
device.registered_users.id |
关键字 |
|
device.registered_users.job_title |
关键字 |
|
device.registered_users.mail |
关键字 |
|
device.registered_users.mobile_phone |
关键字 |
|
device.registered_users.surname |
关键字 |
|
device.registered_users.user_principal_name |
关键字 |
|
entityanalytics_entra_id.device.account_enabled |
如果帐户已启用,则为 true;否则为 false。默认为 true。 |
布尔值 |
entityanalytics_entra_id.device.alternative_security_ids.identity_provider |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.alternative_security_ids.key |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.alternative_security_ids.type |
仅供内部使用。 |
长整型 |
entityanalytics_entra_id.device.approximate_last_sign_in_date_time |
时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.category |
由 Intune 设置的用户定义属性,用于自动将设备添加到组并简化设备管理。 |
关键字 |
entityanalytics_entra_id.device.compliance_expiration_date_time |
设备不再被视为合规的时间戳。时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.d_id |
Azure 设备注册服务在注册时设置的唯一标识符。这是可用于引用设备对象的备用键。 |
关键字 |
entityanalytics_entra_id.device.display_name |
设备的显示名称。 |
关键字 |
entityanalytics_entra_id.device.enrollment_profile_name |
应用于设备的注册配置文件。例如,Apple 设备注册配置文件、设备注册 - 公司设备标识符或 Windows Autopilot 配置文件名称。此属性由 Intune 设置。 |
关键字 |
entityanalytics_entra_id.device.extension_attributes |
包含设备的扩展属性 1-15。各个扩展属性不可选择。这些属性在云中进行主控,并且可以在创建或更新 Azure AD 中的设备对象期间设置。 |
对象 |
entityanalytics_entra_id.device.group.id |
组的唯一标识符。 |
关键字 |
entityanalytics_entra_id.device.group.name |
组的显示名称。 |
关键字 |
entityanalytics_entra_id.device.id |
设备的唯一标识符。继承自 directoryObject。 |
关键字 |
entityanalytics_entra_id.device.is_compliant |
如果设备符合移动设备管理 (MDM) 策略,则为 true;否则为 false。这只能由 Intune 为任何设备操作系统类型或由批准的 MDM 应用程序为 Windows 操作系统设备更新。 |
布尔值 |
entityanalytics_entra_id.device.is_managed |
如果设备由移动设备管理 (MDM) 应用程序管理,则为 true;否则为 false。这只能由 Intune 为任何设备操作系统类型或由批准的 MDM 应用程序为 Windows 操作系统设备更新。 |
布尔值 |
entityanalytics_entra_id.device.manufacturer |
设备的制造商。 |
关键字 |
entityanalytics_entra_id.device.mdm_app_id |
用于将设备注册到 MDM 的应用程序标识符。 |
关键字 |
entityanalytics_entra_id.device.metadata |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.model |
设备的型号。 |
关键字 |
entityanalytics_entra_id.device.on_premises_last_sync_date_time |
该对象与本地目录同步的最后时间。时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.on_premises_sync_enabled |
如果此对象是从本地目录同步的,则为 true;如果此对象最初是从本地目录同步的,但不再同步,则为 false;如果此对象从未从本地目录同步(默认值),则为 null。 |
布尔值 |
entityanalytics_entra_id.device.operating_system |
设备上的操作系统类型。 |
关键字 |
entityanalytics_entra_id.device.operating_system_version |
设备上的操作系统版本。 |
关键字 |
entityanalytics_entra_id.device.ownership |
设备的所有权。此属性由 Intune 设置。可能的值为:未知、公司、个人。 |
关键字 |
entityanalytics_entra_id.device.physical_ids |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.device.profile_type |
设备的配置文件类型。可能的值:RegisteredDevice(默认)、SecureVM、Printer、Shared、IoT。 |
关键字 |
entityanalytics_entra_id.device.registered_owners.business_phones |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.display_name |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.given_name |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.id |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.job_title |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.mail |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.mobile_phone |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.surname |
关键字 |
|
entityanalytics_entra_id.device.registered_owners.user_principal_name |
关键字 |
|
entityanalytics_entra_id.device.registered_users.business_phones |
关键字 |
|
entityanalytics_entra_id.device.registered_users.display_name |
关键字 |
|
entityanalytics_entra_id.device.registered_users.given_name |
关键字 |
|
entityanalytics_entra_id.device.registered_users.id |
关键字 |
|
entityanalytics_entra_id.device.registered_users.job_title |
关键字 |
|
entityanalytics_entra_id.device.registered_users.mail |
关键字 |
|
entityanalytics_entra_id.device.registered_users.mobile_phone |
关键字 |
|
entityanalytics_entra_id.device.registered_users.surname |
关键字 |
|
entityanalytics_entra_id.device.registered_users.user_principal_name |
关键字 |
|
entityanalytics_entra_id.device.registration_date_time |
设备注册的日期和时间。时间戳类型使用 ISO 8601 格式表示日期和时间信息,并且始终为 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 时间为 2014-01-01T00:00:00Z。 |
日期 |
entityanalytics_entra_id.device.system_labels |
系统应用于设备的标签列表。 |
关键字 |
entityanalytics_entra_id.device.trust_type |
加入设备的信任类型。只读。可能的值:Workplace(表示自带个人设备)、AzureAd(仅云加入的设备)、ServerAd(加入到 Azure AD 的本地域加入设备)。 |
关键字 |
entityanalytics_entra_id.device.version |
仅供内部使用。 |
关键字 |
entityanalytics_entra_id.user.account_enabled |
如果帐户已启用,则为 true;否则为 false。 |
布尔值 |
entityanalytics_entra_id.user.business_phones |
用户的电话号码。 |
关键字 |
entityanalytics_entra_id.user.display_name |
用户在地址簿中显示的名称。这通常是用户的名字、中间名首字母和姓氏的组合。 |
关键字 |
entityanalytics_entra_id.user.given_name |
用户的名字(名)。最大长度为 64 个字符。 |
关键字 |
entityanalytics_entra_id.user.group.id |
组的唯一标识符。 |
关键字 |
entityanalytics_entra_id.user.group.name |
组的显示名称。 |
关键字 |
entityanalytics_entra_id.user.id |
用户的唯一标识符。应视为不透明的标识符。继承自 directoryObject。 |
关键字 |
entityanalytics_entra_id.user.job_title |
用户的职位。最大长度为 128 个字符。 |
关键字 |
entityanalytics_entra_id.user.mail |
用户的 SMTP 地址。 |
关键字 |
entityanalytics_entra_id.user.mobile_phone |
用户的主要手机号码。对于从本地目录同步的用户,此字段为只读。最大长度为 64 个字符。 |
关键字 |
entityanalytics_entra_id.user.office_location |
用户工作场所的办公室位置。 |
关键字 |
entityanalytics_entra_id.user.preferred_language |
用户的首选语言。应遵循 ISO 639-1 代码;例如 en-US。 |
关键字 |
entityanalytics_entra_id.user.surname |
用户的姓氏(家族名称或姓氏)。最大长度为 64 个字符。 |
关键字 |
entityanalytics_entra_id.user.user_principal_name |
用户的用户主体名称 (UPN)。UPN 是基于 Internet 标准 RFC 822 的用户的 Internet 样式登录名。按照惯例,这应该映射到用户的电子邮件名称。通用格式为 alias@domain,其中 domain 必须存在于租户的已验证域集合中。 |
关键字 |
event.dataset |
数据集的名称。 |
constant_keyword |
event.message |
为在日志查看器中查看而优化的日志消息。 |
text |
event.module |
此数据来自的模块的名称。 |
constant_keyword |
event.provider |
事件类型。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
关键字 |
labels.identity_source |
关键字 |
|
log.flags |
日志文件的标志。 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
user.enabled |
布尔值 |
|
user.first_name |
关键字 |
|
user.group.id |
关键字 |
|
user.group.name |
关键字 |
|
user.job_title |
关键字 |
|
user.last_name |
关键字 |
|
user.phone |
关键字 |
|
user.work.location_name |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.4.0 |
增强功能 (查看拉取请求) |
8.15.1 或更高版本 |
1.3.1 |
Bug 修复 (查看拉取请求) |
8.15.1 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.15.1 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.1 |
增强功能 (查看拉取请求) |
8.11.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.11.0 或更高版本 |
0.6.1 |
增强功能 (查看拉取请求) |
— |
0.6.0 |
增强功能 (查看拉取请求) |
— |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |