Menlo Security
编辑Menlo Security
编辑Menlo Security 以隔离为中心的方法将 Web 浏览和文档检索在用户设备和一个远离端点的隔离式、一次性虚拟容器 (DVC) 之间分开。所有有风险的代码都在隔离的 DVC 中执行,并且永远不会到达端点。只有安全的显示数据会被发送到用户的浏览器。用户流量会自动发送到此基础设施,而不会对用户本身产生任何影响。
Web
编辑Menlo Security 基于云的浏览器安全可防止混合企业中任何浏览器和任何设备上的网络钓鱼和恶意软件攻击。
DLP
编辑数据丢失防护(也称为数据泄漏防护)检测潜在的数据泄露或数据外泄传输,并通过检测并可选地阻止通过 Menlo Security 平台传输的敏感数据来防止这些泄露。
兼容性
编辑此模块已针对 Menlo Security API 版本 2.0 进行测试
数据流
编辑Menlo Security 集成收集以下两个事件的数据
| 事件类型 |
|---|
Web |
DLP |
设置
编辑要通过 REST API 收集数据,您将需要您的 Menlo Security API URL 和一个 API 令牌。
用于收集日志的 API 令牌必须具有日志导出 API 权限
日志参考
编辑Web
编辑这是 Web 数据集。
示例
web 的示例事件如下所示
{
"@timestamp": "2023-11-21T13:12:37.102Z",
"agent": {
"ephemeral_id": "22fb9f42-0c3b-4c46-9fae-06cd89923a5b",
"id": "9a98930c-439d-4a0b-81f0-f4228f8c523f",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.2"
},
"client": {
"geo": {
"country_iso_code": "US"
},
"ip": "192.18.1.3"
},
"cloud": {
"region": "us-east-1c"
},
"data_stream": {
"dataset": "menlo.web",
"namespace": "ep",
"type": "logs"
},
"destination": {
"geo": {
"country_iso_code": "US"
},
"ip": "192.18.1.1"
},
"dns": {
"answers": {
"data": [
"192.18.1.1"
]
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "9a98930c-439d-4a0b-81f0-f4228f8c523f",
"snapshot": false,
"version": "8.12.2"
},
"event": {
"agent_id_status": "verified",
"category": [
"web",
"network",
"threat"
],
"dataset": "menlo.web",
"ingested": "2024-03-28T13:32:25Z",
"kind": "alert",
"outcome": "unknown",
"reason": "a77757d5-d3be-47ab-9394-cfff5887ade4"
},
"http": {
"request": {
"method": "GET"
},
"response": {
"status_code": 308
}
},
"input": {
"type": "cel"
},
"menlo": {
"web": {
"categories": "Business and Economy",
"content_type": "text/html; charset=UTF-8",
"has_password": false,
"is_iframe": "false",
"request_type": "page_request",
"risk_score": "low",
"tab_id": "1",
"tally": -1,
"ua_type": "supported_browser"
}
},
"network": {
"protocol": "http"
},
"observer": {
"geo": {
"country_iso_code": "US"
},
"ip": [
"192.18.1.2"
],
"product": "MSIP",
"vendor": "Menlo Security",
"version": "2.0"
},
"related": {
"ip": [
"192.18.1.3",
"192.18.1.1"
],
"user": [
"example_user"
]
},
"server": {
"geo": {
"country_iso_code": "US"
},
"ip": "192.18.1.1"
},
"source": {
"geo": {
"country_iso_code": "US"
},
"ip": "192.18.1.3"
},
"tags": [
"menlo",
"forwarded"
],
"url": {
"domain": "elastic.co",
"original": "https://elastic.ac.cn/",
"path": "/",
"registered_domain": "elastic.co",
"scheme": "http",
"top_level_domain": "co"
},
"user": {
"name": "example_user"
},
"user_agent": {
"device": {
"name": "Mac"
},
"name": "Chrome",
"original": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"os": {
"full": "Mac OS X 10.15.7",
"name": "Mac OS X",
"version": "10.15.7"
},
"version": "119.0.0.0"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
menlo.web.cached |
指示资源是从隔离浏览器的缓存中获取(真),还是从原始服务器下载(假) |
布尔值 |
menlo.web.casb_app_name |
云应用程序名称 |
关键字 |
menlo.web.casb_cat_name |
应用程序类别 ID |
关键字 |
menlo.web.casb_fun_name |
应用程序功能名称 |
关键字 |
menlo.web.casb_org_name |
应用程序组织名称 |
关键字 |
menlo.web.casb_profile_id |
Menlo CASB 配置文件 ID |
关键字 |
menlo.web.casb_profile_name |
附加到应用程序或异常规则的 Menlo CASB 配置文件名称 |
关键字 |
menlo.web.casb_profile_type |
Menlo CASB 配置文件类型(已批准/未批准/未分类) |
关键字 |
menlo.web.casb_risk_score |
应用程序的 Menlo 风险评分 (0-10) |
关键字 |
menlo.web.categories |
类别规则 类别类型分类 |
关键字 |
menlo.web.content_type |
页面类型 |
关键字 |
menlo.web.has_password |
表单 POST 请求中是否存在密码 |
布尔值 |
menlo.web.is_iframe |
是否为内联框架 (iframe) 元素 |
布尔值 |
menlo.web.request_type |
请求类型 |
关键字 |
menlo.web.risk_score |
为 URL 计算的风险 |
关键字 |
menlo.web.sbox |
沙箱检查结果 |
关键字 |
menlo.web.sbox_mal_act |
发现的恶意活动列表 |
关键字 |
menlo.web.soph |
完整文件扫描结果 |
关键字 |
menlo.web.tab_id |
代理中的选项卡创建编号 |
关键字 |
menlo.web.tally |
遇到的风险计数 |
长整型 |
menlo.web.threat_types |
顶级风险 |
关键字 |
menlo.web.threats |
由 Menlo Security 内部数据识别的威胁类型 |
关键字 |
menlo.web.ua_type |
用户代理的类型 |
关键字 |
menlo.web.virus_details |
病毒详细信息 |
关键字 |
menlo.web.xff_ip |
源自客户端 IP 地址的 X-Forwarded-For HTTP 标头字段 |
关键字 |
DLP
编辑这是 DLP 数据集。
示例
dlp 的示例事件如下所示
{
"@timestamp": "2024-03-28T13:30:21.204Z",
"agent": {
"ephemeral_id": "1054908a-63b4-46fd-8028-f975d0f878c2",
"id": "9a98930c-439d-4a0b-81f0-f4228f8c523f",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.2"
},
"data_stream": {
"dataset": "menlo.dlp",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "9a98930c-439d-4a0b-81f0-f4228f8c523f",
"snapshot": false,
"version": "8.12.2"
},
"event": {
"action": "block",
"agent_id_status": "verified",
"category": [
"intrusion_detection",
"network"
],
"created": "2020-03-09T17:17:22.227Z",
"dataset": "menlo.dlp",
"id": "a4c2161b3f81a287ec46d3c993a33f3b97ded5fd854fa184e7f50679303111ce",
"ingested": "2024-03-28T13:30:33Z",
"kind": "alert",
"outcome": "success",
"severity": 5
},
"file": {
"hash": {
"sha256": "fd1aee671d92aba0f9f0a8a6d5c6b843e09c8295ced9bb85e16d97360b4d7b3a"
},
"name": "more_credit_cards.csv"
},
"http": {
"request": {
"method": "GET"
}
},
"input": {
"type": "cel"
},
"menlo": {
"dlp": {
"alerted": "false",
"category": "Download Sites",
"ccl": {
"id": "CreditordebitcardnumbersGlobal",
"match_counts": 1,
"score": 1
},
"status": "dirty",
"stream_name": "/safefile-input/working_file",
"user_input": "false"
}
},
"observer": {
"product": "MSIP",
"vendor": "Menlo Security",
"version": "2.0"
},
"related": {
"hash": [
"fd1aee671d92aba0f9f0a8a6d5c6b843e09c8295ced9bb85e16d97360b4d7b3a"
],
"user": [
"[email protected]"
]
},
"rule": {
"id": "1f3ef32c-ec62-42fb-8cad-e1fee3375099",
"name": "Credit card block rule"
},
"tags": [
"menlo",
"forwarded"
],
"url": {
"domain": "tinynewupload.com",
"original": "http://tinynewupload.com/",
"path": "/",
"registered_domain": "tinynewupload.com",
"scheme": "http",
"top_level_domain": "com"
},
"user": {
"name": "[email protected]"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
menlo.dlp.alerted |
是否已向 DLP 审计员配置文件发送电子邮件警报 |
布尔值 |
menlo.dlp.category |
类别规则 类别类型分类 |
关键字 |
menlo.dlp.ccl.id |
违反的 DLP 字典的名称 |
关键字 |
menlo.dlp.ccl.match_counts |
导致违规的字符串的匹配数 |
长整型 |
menlo.dlp.ccl.score |
导致违规的字典中的 DLP 分数 |
长整型 |
menlo.dlp.status |
DLP 引擎的结果 |
关键字 |
menlo.dlp.stream_name |
用于文件(通常是 working_file)或文本流 (uid) 的内部名称 |
关键字 |
menlo.dlp.user_input |
此事件是否是由于用户表单输入而生成的 |
布尔值 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.3.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
0.1.0 |
增强功能 (查看拉取请求) |
— |