Microsoft Defender for Cloud
编辑Microsoft Defender for Cloud
编辑Microsoft Defender for Cloud 集成允许您监控安全警报事件。当与 Elastic Security 集成时,可以在 Elastic 中利用此有价值的数据来分析用户通过 Microsoft Defender 保护的资源和服务。
使用 Microsoft Defender for Cloud 集成从 Azure 事件中心收集和解析数据,然后在 Kibana 中可视化该数据。
数据流
编辑Microsoft Defender for Cloud 集成收集一种数据:事件。
事件允许用户保留订阅上发生的安全性事件的记录,其中包括影响用户环境安全的实时事件。有关安全警报和类型的更多信息,请参阅此处。
先决条件
编辑要开始使用 Defender for Cloud,用户必须订阅 Microsoft Azure。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要 Elastic Agent 从 Azure 事件中心流式传输数据,并将数据发送到 Elastic,然后事件将通过集成的摄取管道进行处理。
安装和管理 Elastic Agent
编辑您可以通过几种选项来安装和管理 Elastic Agent
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您将安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您将安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,可以使用 Fleet Server 或独立模式。所有版本的 Elastic Agent 的 Docker 映像都可以从 Elastic Docker 注册表中获取,并且我们提供了用于在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此处的链接。
所需的最低 kibana.version 为 8.3.0。
设置
编辑要从 Microsoft Azure 事件中心收集数据,请按照以下步骤操作
编辑- 在 Azure 订阅上配置 Microsoft Defender for Cloud。有关更多详细信息,请参阅此处的链接。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入“Microsoft Defender for Cloud”。
- 从搜索结果中单击“Microsoft Defender for Cloud”集成。
- 单击“添加 Microsoft Defender for Cloud 集成”按钮以添加集成。
-
添加集成时,如果要通过 Azure 事件中心收集日志,则必须输入以下详细信息
- eventhub
- consumer_group
- connection_string
- storage_account
- storage_account_key
- storage_account_container(可选)
- resource_manager_endpoint(可选)
日志参考
编辑事件
编辑这是 事件 数据集。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
microsoft_defender_cloud.event.agent_id |
keyword |
|
microsoft_defender_cloud.event.alert_type |
检测逻辑的唯一标识符(来自同一检测逻辑的所有警报实例将具有相同的 alertType)。 |
keyword |
microsoft_defender_cloud.event.assessment_event_data_enrichment.action |
keyword |
|
microsoft_defender_cloud.event.assessment_event_data_enrichment.api_version |
keyword |
|
microsoft_defender_cloud.event.assessment_event_data_enrichment.is_snapshot |
boolean |
|
microsoft_defender_cloud.event.azure_resource_id |
keyword |
|
microsoft_defender_cloud.event.compromised_entity |
与此警报最相关的资源的显示名称。 |
keyword |
microsoft_defender_cloud.event.confidence.level |
keyword |
|
microsoft_defender_cloud.event.confidence.reasons |
keyword |
|
microsoft_defender_cloud.event.confidence.score |
keyword |
|
microsoft_defender_cloud.event.correlation_key |
用于关联相关警报的密钥。具有相同关联密钥的警报被认为是相关的。 |
keyword |
microsoft_defender_cloud.event.description |
检测到的可疑活动的描述。 |
keyword |
microsoft_defender_cloud.event.display_name |
警报的显示名称。 |
keyword |
microsoft_defender_cloud.event.end_time_utc |
以 ISO8601 格式表示的警报中包含的最后一个事件或活动的 UTC 时间。 |
date |
microsoft_defender_cloud.event.entities.aad_tenant_id |
keyword |
|
microsoft_defender_cloud.event.entities.aad_user_id |
keyword |
|
microsoft_defender_cloud.event.entities.account.ref |
keyword |
|
microsoft_defender_cloud.event.entities.address |
ip |
|
microsoft_defender_cloud.event.entities.algorithm |
keyword |
|
microsoft_defender_cloud.event.entities.amazon_resource_id |
keyword |
|
microsoft_defender_cloud.event.entities.asset |
boolean |
|
microsoft_defender_cloud.event.entities.azure_id |
keyword |
|
microsoft_defender_cloud.event.entities.blob_container.ref |
keyword |
|
microsoft_defender_cloud.event.entities.category |
keyword |
|
microsoft_defender_cloud.event.entities.cloud_resource.ref |
keyword |
|
microsoft_defender_cloud.event.entities.cluster.ref |
keyword |
|
microsoft_defender_cloud.event.entities.command_line |
keyword |
|
microsoft_defender_cloud.event.entities.container_id |
keyword |
|
microsoft_defender_cloud.event.entities.creation_time_utc |
date |
|
microsoft_defender_cloud.event.entities.directory |
keyword |
|
microsoft_defender_cloud.event.entities.dns_domain |
keyword |
|
microsoft_defender_cloud.event.entities.domain_name |
keyword |
|
microsoft_defender_cloud.event.entities.elevation_token |
keyword |
|
microsoft_defender_cloud.event.entities.end_time_utc |
date |
|
microsoft_defender_cloud.event.entities.etag |
keyword |
|
microsoft_defender_cloud.event.entities.file_hashes.algorithm |
keyword |
|
microsoft_defender_cloud.event.entities.file_hashes.asset |
boolean |
|
microsoft_defender_cloud.event.entities.file_hashes.id |
keyword |
|
microsoft_defender_cloud.event.entities.file_hashes.ref |
keyword |
|
microsoft_defender_cloud.event.entities.file_hashes.type |
keyword |
|
microsoft_defender_cloud.event.entities.file_hashes.value |
keyword |
|
microsoft_defender_cloud.event.entities.files.ref |
keyword |
|
microsoft_defender_cloud.event.entities.host.ref |
keyword |
|
microsoft_defender_cloud.event.entities.host_ip_address.ref |
keyword |
|
microsoft_defender_cloud.event.entities.host_name |
keyword |
|
microsoft_defender_cloud.event.entities.id |
keyword |
|
microsoft_defender_cloud.event.entities.image.ref |
keyword |
|
microsoft_defender_cloud.event.entities.image_file.ref |
keyword |
|
microsoft_defender_cloud.event.entities.image_id |
keyword |
|
microsoft_defender_cloud.event.entities.ip_addresses.address |
ip |
|
microsoft_defender_cloud.event.entities.ip_addresses.asset |
boolean |
|
microsoft_defender_cloud.event.entities.ip_addresses.id |
keyword |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.asn |
long |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.city |
keyword |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.country_code |
keyword |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.country_name |
keyword |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.latitude |
double |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.longitude |
double |
|
microsoft_defender_cloud.event.entities.ip_addresses.location.state |
keyword |
|
microsoft_defender_cloud.event.entities.ip_addresses.type |
keyword |
|
microsoft_defender_cloud.event.entities.is_domain_joined |
boolean |
|
microsoft_defender_cloud.event.entities.is_valid |
boolean |
|
microsoft_defender_cloud.event.entities.location.asn |
long |
|
microsoft_defender_cloud.event.entities.location.carrier |
keyword |
|
microsoft_defender_cloud.event.entities.location.city |
keyword |
|
microsoft_defender_cloud.event.entities.location.cloud_provider |
keyword |
|
microsoft_defender_cloud.event.entities.location.country_code |
keyword |
|
microsoft_defender_cloud.event.entities.location.country_name |
keyword |
|
microsoft_defender_cloud.event.entities.location.latitude |
double |
|
microsoft_defender_cloud.event.entities.location.longitude |
double |
|
microsoft_defender_cloud.event.entities.location.organization |
keyword |
|
microsoft_defender_cloud.event.entities.location.organization_type |
keyword |
|
microsoft_defender_cloud.event.entities.location.state |
keyword |
|
microsoft_defender_cloud.event.entities.location.system_service |
keyword |
|
microsoft_defender_cloud.event.entities.location_type |
keyword |
|
microsoft_defender_cloud.event.entities.location_value |
keyword |
|
microsoft_defender_cloud.event.entities.logon_id |
keyword |
|
microsoft_defender_cloud.event.entities.name |
keyword |
|
microsoft_defender_cloud.event.entities.namespace.ref |
keyword |
|
microsoft_defender_cloud.event.entities.net_bios_name |
keyword |
|
microsoft_defender_cloud.event.entities.nt_domain |
keyword |
|
microsoft_defender_cloud.event.entities.object_guid |
keyword |
|
microsoft_defender_cloud.event.entities.oms_agent_id |
keyword |
|
microsoft_defender_cloud.event.entities.os_family |
keyword |
|
microsoft_defender_cloud.event.entities.os_version |
keyword |
|
microsoft_defender_cloud.event.entities.parent_process.ref |
keyword |
|
microsoft_defender_cloud.event.entities.pod.ref |
keyword |
|
microsoft_defender_cloud.event.entities.process_id |
keyword |
|
microsoft_defender_cloud.event.entities.project_id |
keyword |
|
microsoft_defender_cloud.event.entities.protocol |
keyword |
|
microsoft_defender_cloud.event.entities.ref |
keyword |
|
microsoft_defender_cloud.event.entities.related_azure_resource_ids |
keyword |
|
microsoft_defender_cloud.event.entities.resource_id |
keyword |
|
microsoft_defender_cloud.event.entities.resource_name |
keyword |
|
microsoft_defender_cloud.event.entities.resource_type |
keyword |
|
microsoft_defender_cloud.event.entities.session_id |
keyword |
|
microsoft_defender_cloud.event.entities.sid |
keyword |
|
microsoft_defender_cloud.event.entities.source_address.ref |
keyword |
|
microsoft_defender_cloud.event.entities.start_time_utc |
date |
|
microsoft_defender_cloud.event.entities.storage_resource.ref |
keyword |
|
microsoft_defender_cloud.event.entities.threat_intelligence.confidence |
double |
|
microsoft_defender_cloud.event.entities.threat_intelligence.description |
keyword |
|
microsoft_defender_cloud.event.entities.threat_intelligence.name |
keyword |
|
microsoft_defender_cloud.event.entities.threat_intelligence.provider_name |
keyword |
|
microsoft_defender_cloud.event.entities.threat_intelligence.report_link |
keyword |
|
microsoft_defender_cloud.event.entities.threat_intelligence.type |
keyword |
|
microsoft_defender_cloud.event.entities.type |
keyword |
|
microsoft_defender_cloud.event.entities.upn_suffix |
keyword |
|
microsoft_defender_cloud.event.entities.url |
keyword |
|
microsoft_defender_cloud.event.entities.value |
keyword |
|
microsoft_defender_cloud.event.event_type |
keyword |
|
microsoft_defender_cloud.event.extended_links.category |
与警报相关的链接 |
keyword |
microsoft_defender_cloud.event.extended_links.href |
keyword |
|
microsoft_defender_cloud.event.extended_links.label |
keyword |
|
microsoft_defender_cloud.event.extended_links.type |
keyword |
|
microsoft_defender_cloud.event.extended_properties |
警报的自定义属性。 |
flattened |
microsoft_defender_cloud.event.id |
资源 ID。 |
keyword |
microsoft_defender_cloud.event.intent |
警报背后的杀伤链相关意图。有关支持的值列表和 Azure 安全中心支持的杀伤链意图的解释。 |
keyword |
microsoft_defender_cloud.event.is_incident |
此字段确定警报是事件(几个警报的复合分组)还是单个警报。 |
boolean |
microsoft_defender_cloud.event.kind |
keyword |
|
microsoft_defender_cloud.event.location |
keyword |
|
microsoft_defender_cloud.event.name |
资源名称。 |
keyword |
microsoft_defender_cloud.event.processing_end_time |
以 ISO8601 格式表示的警报的 UTC 处理结束时间。 |
date |
microsoft_defender_cloud.event.product.name |
发布此警报的产品的名称(Microsoft Sentinel、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office、Microsoft Defender for Cloud Apps 等)。 |
keyword |
microsoft_defender_cloud.event.properties.additional_data |
flattened |
|
microsoft_defender_cloud.event.properties.assessment.definitions |
keyword |
|
microsoft_defender_cloud.event.properties.assessment.details_link |
keyword |
|
microsoft_defender_cloud.event.properties.assessment.type |
keyword |
|
microsoft_defender_cloud.event.properties.category |
keyword |
|
microsoft_defender_cloud.event.properties.definition.display_name |
keyword |
|
microsoft_defender_cloud.event.properties.definition.id |
keyword |
|
microsoft_defender_cloud.event.properties.definition.max_score |
long |
|
microsoft_defender_cloud.event.properties.definition.name |
keyword |
|
microsoft_defender_cloud.event.properties.definition.source_type |
keyword |
|
microsoft_defender_cloud.event.properties.definition.type |
keyword |
|
microsoft_defender_cloud.event.properties.description |
keyword |
|
microsoft_defender_cloud.event.properties.display_name |
keyword |
|
microsoft_defender_cloud.event.properties.environment |
keyword |
|
microsoft_defender_cloud.event.properties.failed_resources |
long |
|
microsoft_defender_cloud.event.properties.healthy_resource_count |
long |
|
microsoft_defender_cloud.event.properties.id |
keyword |
|
microsoft_defender_cloud.event.properties.impact |
keyword |
|
microsoft_defender_cloud.event.properties.links.azure_portal |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.assessment_type |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.categories |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.description |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.display_name |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.implementation_effort |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.policy_definition_id |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.preview |
boolean |
|
microsoft_defender_cloud.event.properties.metadata.remediation_description |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.severity |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.threats |
keyword |
|
microsoft_defender_cloud.event.properties.metadata.user_impact |
keyword |
|
microsoft_defender_cloud.event.properties.not_applicable_resource_count |
long |
|
microsoft_defender_cloud.event.properties.passed_resources |
long |
|
microsoft_defender_cloud.event.properties.remediation |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.id |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.machine_name |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.source |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.source_computer_id |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.type |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.vm_uuid |
keyword |
|
microsoft_defender_cloud.event.properties.resource_details.workspace_id |
keyword |
|
microsoft_defender_cloud.event.properties.score.current |
double |
|
microsoft_defender_cloud.event.properties.score.max |
long |
|
microsoft_defender_cloud.event.properties.score.percentage |
double |
|
microsoft_defender_cloud.event.properties.skipped_resources |
long |
|
microsoft_defender_cloud.event.properties.state |
keyword |
|
microsoft_defender_cloud.event.properties.status.cause |
keyword |
|
microsoft_defender_cloud.event.properties.status.code |
keyword |
|
microsoft_defender_cloud.event.properties.status.description |
keyword |
|
microsoft_defender_cloud.event.properties.status.first_evaluation_date |
date |
|
microsoft_defender_cloud.event.properties.status.severity |
keyword |
|
microsoft_defender_cloud.event.properties.status.status_change_date |
date |
|
microsoft_defender_cloud.event.properties.status.type |
keyword |
|
microsoft_defender_cloud.event.properties.time_generated |
date |
|
microsoft_defender_cloud.event.properties.type |
keyword |
|
microsoft_defender_cloud.event.properties.unhealthy_resource_count |
long |
|
microsoft_defender_cloud.event.properties.weight |
long |
|
microsoft_defender_cloud.event.provider_alert_status |
keyword |
|
microsoft_defender_cloud.event.remediation_steps |
手动执行的修复警报的操作项。 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.aad_tenant_id |
keyword |
|
microsoft_defender_cloud.event.resource_identifiers.agent_id |
(可选)报告此警报所基于的事件的 LogAnalytics 代理 ID。 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.azure_id |
正在发出警报的云资源的 ARM 资源标识符 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.azure_tenant_id |
keyword |
|
microsoft_defender_cloud.event.resource_identifiers.id |
可用于将警报定向到正确的产品公开组(租户、工作区、订阅等)的资源标识符。每个警报可以有多个不同类型的标识符。 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.type |
每个警报可以有多个不同类型的标识符,此字段指定标识符类型。 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.workspace_id |
存储此警报的 LogAnalytics 工作区 ID。 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.workspace_resource_group |
存储此警报的 LogAnalytics 工作区的 Azure 资源组 |
keyword |
microsoft_defender_cloud.event.resource_identifiers.workspace_subscription_id |
存储此警报的 LogAnalytics 工作区的 Azure 订阅 ID。 |
keyword |
microsoft_defender_cloud.event.security_event_data_enrichment.action |
keyword |
|
microsoft_defender_cloud.event.security_event_data_enrichment.api_version |
keyword |
|
microsoft_defender_cloud.event.security_event_data_enrichment.interval |
keyword |
|
microsoft_defender_cloud.event.security_event_data_enrichment.is_snapshot |
boolean |
|
microsoft_defender_cloud.event.security_event_data_enrichment.type |
keyword |
|
microsoft_defender_cloud.event.severity |
检测到的威胁的风险级别。 |
keyword |
microsoft_defender_cloud.event.start_time_utc |
警报中包含的第一个事件或活动的 UTC 时间,采用 ISO8601 格式。 |
date |
microsoft_defender_cloud.event.status |
警报的生命周期状态。 |
keyword |
microsoft_defender_cloud.event.sub_assessment_event.data_enrichment.action |
keyword |
|
microsoft_defender_cloud.event.sub_assessment_event.data_enrichment.api_version |
keyword |
|
microsoft_defender_cloud.event.sub_assessment_event.data_enrichment.is_snapshot |
boolean |
|
microsoft_defender_cloud.event.sub_assessment_event.data_enrichment.type |
keyword |
|
microsoft_defender_cloud.event.system.alert_id |
警报的唯一标识符。 |
keyword |
microsoft_defender_cloud.event.tags |
keyword |
|
microsoft_defender_cloud.event.tenant_id |
keyword |
|
microsoft_defender_cloud.event.time_generated |
生成警报的 UTC 时间,采用 ISO8601 格式。 |
date |
microsoft_defender_cloud.event.type |
资源类型。 |
keyword |
microsoft_defender_cloud.event.uri |
指向 Azure 门户中警报页面的直接链接。 |
keyword |
microsoft_defender_cloud.event.vendor_name |
引发警报的供应商的名称。 |
keyword |
microsoft_defender_cloud.event.workspace.id |
keyword |
|
microsoft_defender_cloud.event.workspace.resource_group |
keyword |
|
microsoft_defender_cloud.event.workspace.subscription_id |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.1.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.2 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.1 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.1 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
0.7.0 |
增强功能 (查看拉取请求) |
— |
0.6.0 |
增强功能 (查看拉取请求) |
— |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |