« Microsoft Defender for Cloud Microsoft DHCP »
Elastic 文档 Elastic 集成 Microsoft

Microsoft Defender for Endpoint 集成

编辑

Microsoft Defender for Endpoint 集成

编辑

版本

2.27.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成用于 Microsoft Defender for Endpoint 日志。

设置

编辑

为了允许集成从 Microsoft Defender API 提取数据,您需要在 Azure 域上创建一个新的应用程序。创建应用程序的步骤可以在 创建新的 Azure 应用程序 文档页面中找到。

当授予应用程序文档中描述的 API 权限(Windows Defender ATP Alert.Read.All)时,它只会授予从 ATP 读取警报的权限,而不会授予 Azure 域中的其他任何权限

创建应用程序后,它应包含 3 个您需要应用于模块配置的值。

这些值是

  • 客户端 ID
  • 客户端密钥
  • 租户 ID

ECS 映射

编辑
Defender for Endpoint 字段 ECS 字段

alertCreationTime

@timestamp

aadTenantId

cloud.account.id

category

threat.technique.name

computerDnsName

host.hostname

description

rule.description

detectionSource

observer.name

evidence.fileName

file.name

evidence.filePath

file.path

evidence.processId

process.pid

evidence.processCommandLine

process.command_line

evidence.processCreationTime

process.start

evidence.parentProcessId

process.parent.pid

evidence.parentProcessCreationTime

process.parent.start

evidence.sha1

file.hash.sha1

evidence.sha256

file.hash.sha256

evidence.url

url.full

firstEventTime

event.start

id

event.id

lastEventTime

event.end

machineId

cloud.instance.id

title

message

severity

event.severity
示例

log 的示例事件如下所示

{
    "@timestamp": "2023-09-22T03:31:55.887Z",
    "agent": {
        "ephemeral_id": "20bd2ad7-6c7e-4d34-9d55-57edc09ba1a6",
        "id": "a4d1a8b2-b45c-4d97-a37a-bd371f13111b",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.8.1"
    },
    "cloud": {
        "account": {
            "id": "a839b112-1253-6432-9bf6-94542403f21c"
        },
        "instance": {
            "id": "111e6dd8c833c8a052ea231ec1b19adaf497b625"
        },
        "provider": "azure"
    },
    "data_stream": {
        "dataset": "microsoft_defender_endpoint.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "a4d1a8b2-b45c-4d97-a37a-bd371f13111b",
        "snapshot": false,
        "version": "8.8.1"
    },
    "event": {
        "action": "Execution",
        "agent_id_status": "verified",
        "category": [
            "host"
        ],
        "created": "2021-01-26T20:33:57.7220239Z",
        "dataset": "microsoft_defender_endpoint.log",
        "duration": 101466100,
        "end": "2021-01-26T20:31:33.0577322Z",
        "id": "da637472900382838869_1364969609",
        "ingested": "2023-09-22T03:31:58Z",
        "kind": "alert",
        "provider": "defender_endpoint",
        "severity": 2,
        "start": "2021-01-26T20:31:32.9562661Z",
        "timezone": "UTC",
        "type": [
            "access",
            "start"
        ]
    },
    "host": {
        "hostname": "temp123.middleeast.corp.microsoft.com",
        "name": "temp123.middleeast.corp.microsoft.com"
    },
    "input": {
        "type": "httpjson"
    },
    "message": "Low-reputation arbitrary code executed by signed executable",
    "microsoft": {
        "defender_endpoint": {
            "evidence": {
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "accountName": "name",
                "domainName": "DOMAIN",
                "entityType": "User",
                "userPrincipalName": "[email protected]"
            },
            "incidentId": "1126093",
            "investigationState": "Queued",
            "lastUpdateTime": "2021-01-26T20:33:59.2Z",
            "rbacGroupName": "A",
            "status": "New"
        }
    },
    "observer": {
        "name": "WindowsDefenderAtp",
        "product": "Defender for Endpoint",
        "vendor": "Microsoft"
    },
    "related": {
        "hosts": [
            "temp123.middleeast.corp.microsoft.com"
        ],
        "user": [
            "temp123"
        ]
    },
    "rule": {
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server."
    },
    "tags": [
        "microsoft-defender-endpoint",
        "forwarded"
    ],
    "threat": {
        "framework": "MITRE ATT&CK",
        "technique": {
            "name": [
                "Execution"
            ]
        }
    },
    "user": {
        "domain": "DOMAIN",
        "id": "S-1-5-21-11111607-1111760036-109187956-75141",
        "name": "temp123"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

关键词

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是一个容器。

布尔值

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号(如果有)。

关键词

input.type

输入类型

关键词

log.offset

日志偏移量

长整型

microsoft.defender_endpoint.assignedTo

警报的所有者。

关键词

microsoft.defender_endpoint.classification

警报的规范。可能的值为:UnknownFalsePositiveTruePositive

关键词

microsoft.defender_endpoint.determination

指定警报的判断结果。可能的值为:NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareOther

关键词

microsoft.defender_endpoint.evidence.aadUserId

与警报相关的用户的 ID

关键词

microsoft.defender_endpoint.evidence.accountName

与警报相关的用户的用户名

关键词

microsoft.defender_endpoint.evidence.domainName

与警报相关的域名

关键词

microsoft.defender_endpoint.evidence.entityType

证据的类型

关键词

microsoft.defender_endpoint.evidence.ipAddress

警报中涉及的 IP 地址

ip

microsoft.defender_endpoint.evidence.userPrincipalName

与警报相关的用户的主体名称

关键词

microsoft.defender_endpoint.incidentId

警报的事件 ID。

关键词

microsoft.defender_endpoint.investigationId

与警报相关的调查 ID。

关键词

microsoft.defender_endpoint.investigationState

调查的当前状态。

关键词

microsoft.defender_endpoint.lastUpdateTime

上次更新警报的日期和时间(UTC)。

日期

microsoft.defender_endpoint.rbacGroupName

与警报相关的用户组

关键词

microsoft.defender_endpoint.resolvedTime

警报状态更改为 Resolved 的日期和时间。

日期

microsoft.defender_endpoint.status

指定警报的当前状态。可能的值为:UnknownNewInProgressResolved

关键词

microsoft.defender_endpoint.threatFamilyName

威胁家族。

关键词

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

2.27.0

增强 (查看拉取请求)
不要在主提取管道中删除 event.original

8.13.0 或更高版本

2.26.0

增强 (查看拉取请求)
将 “preserve_original_event” 标签添加到 event.kind 设置为 “pipeline_error” 的文档中。

8.13.0 或更高版本

2.25.1

错误修复 (查看拉取请求)
在提取管道中引用变量时,请使用三重大括号 Mustache 模板。

8.13.0 或更高版本

2.25.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义以删除 ecs@mappings 组件模板导致的冗余 ECS 字段。

8.13.0 或更高版本

2.24.2

错误修复 (查看拉取请求)
修复从 Logstash 接收启用 ecs_compatibility 的事件时处理消息字段的错误。

8.12.0 或更高版本

2.24.1

错误修复 (查看拉取请求)
修复空数组的处理。

8.12.0 或更高版本

2.24.0

增强 (查看拉取请求)
将敏感值设置为机密。

8.12.0 或更高版本

2.23.3

错误修复 (查看拉取请求)
清理空值处理

8.7.1 或更高版本

2.23.2

增强 (查看拉取请求)
已更改所有者

8.7.1 或更高版本

2.23.1

错误修复 (查看拉取请求)
修复 exclude_files 模式。

8.7.1 或更高版本

2.23.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为 5。

8.7.1 或更高版本

2.22.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.7.1 或更高版本

2.21.0

增强 (查看拉取请求)
改进 event.original 检查,以避免在设置时出错。

8.7.1 或更高版本

2.20.0

增强 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.7.1 或更高版本

2.19.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.10.0 并对齐 ECS 分类字段。

8.7.1 或更高版本

2.18.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.7.1 或更高版本

2.17.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.9.0。

8.7.1 或更高版本

2.16.0

增强 (查看拉取请求)
将 package-spec 更新为 2.9.0。

8.7.1 或更高版本

2.15.0

增强 (查看拉取请求)
将可视化转换为镜头。

8.7.1 或更高版本

2.14.0

增强 (查看拉取请求)
记录有效的持续时间单位。

8.7.1 或更高版本

2.13.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.7.1 或更高版本

2.12.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.8.0。

8.7.1 或更高版本

2.11.0

增强 (查看拉取请求)
将 host.name 字段转换为小写

8.7.1 或更高版本

2.10.0

增强 (查看拉取请求)
添加一个新标志以启用请求跟踪

8.7.1 或更高版本

2.9.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.7.0。

8.1.0 或更高版本

2.8.2

增强 (查看拉取请求)
添加了类别和/或子类别。

8.1.0 或更高版本

2.8.1

错误修复 (查看拉取请求)
删除空的事件集。

8.1.0 或更高版本

2.8.0

增强 (查看拉取请求)
添加某些用户所需的 Oauth2 范围支持

8.1.0 或更高版本

2.7.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.6.0。

8.1.0 或更高版本

2.6.0

增强 (查看拉取请求)
增加对较新 Oauth 令牌 URL 的支持

8.1.0 或更高版本

2.5.2

增强 (查看拉取请求)
将仪表板中的可视化迁移到按值,以最大限度地减少保存的对象混乱并缩短加载时间

8.1.0 或更高版本

2.5.1

Bug 修复 (查看拉取请求)
删除重复字段。

7.14.1 或更高版本
8.0.0 或更高版本

2.5.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

7.14.1 或更高版本
8.0.0 或更高版本

2.4.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.4.0

7.14.1 或更高版本
8.0.0 或更高版本

2.3.1

Bug 修复 (查看拉取请求)
修复代理 URL 文档呈现。

7.14.1 或更高版本
8.0.0 或更高版本

2.3.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.3.0。

7.14.1 或更高版本
8.0.0 或更高版本

2.2.1

增强 (查看拉取请求)
更新自述文件,以包含指向供应商文档的链接

7.14.1 或更高版本
8.0.0 或更高版本

2.2.0

增强 (查看拉取请求)
更新到 ECS 8.2

7.14.1 或更高版本
8.0.0 或更高版本

2.1.0

增强 (查看拉取请求)
添加选择 Azure 资源的可能性

7.14.1 或更高版本
8.0.0 或更高版本

2.0.1

增强 (查看拉取请求)
添加多字段文档

7.14.1 或更高版本
8.0.0 或更高版本

2.0.0

增强 (查看拉取请求)
更新到 ECS 8.0

7.14.1 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.14.1 或更高版本
8.0.0 或更高版本

1.0.2

增强 (查看拉取请求)
更新标题和描述。

7.14.1 或更高版本

1.0.1

Bug 修复 (查看拉取请求)
修复检查已转发标签的逻辑

1.0.0

增强 (查看拉取请求)
第一个版本

« Microsoft Defender for Cloud Microsoft DHCP »