« Google Google Workspace 集成 »
Elastic 文档 Elastic 集成 Google

Google Santa 集成

编辑

Google Santa 集成

编辑

版本

3.22.0 ( 查看全部 )

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Google Santa 集成收集并解析来自 Google Santa 的日志,这是一个用于 macOS 的安全工具,可以监视进程执行并可以拉黑/白名单二进制文件。

兼容性

编辑

Google Santa 集成已使用来自 Santa 2022.4 的日志进行了测试。

Google Santa 仅适用于 macOS。

该集成默认配置为从 /var/db/santa/santa.log 读取日志。

日志

编辑
Google Santa 日志
编辑

这是 Google Santa log 数据集。

示例

log 的一个示例事件如下:

{
    "@timestamp": "2022-05-12T11:30:05.248Z",
    "agent": {
        "ephemeral_id": "7f9603e8-5411-4ed1-acdc-d842f98e5c8b",
        "id": "fa4b2c2b-d00f-4e96-aaf3-d5de2b8544e6",
        "name": "elastic-agent-97786",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "santa.log",
        "namespace": "85590",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "fa4b2c2b-d00f-4e96-aaf3-d5de2b8544e6",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "link",
        "agent_id_status": "verified",
        "dataset": "santa.log",
        "ingested": "2024-10-01T13:57:49Z",
        "kind": "event"
    },
    "file": {
        "path": "/private/var/db/santa/santa.log",
        "target_path": "/private/var/db/santa/santa.log.0"
    },
    "group": {
        "id": "0",
        "name": "wheel"
    },
    "host": {
        "architecture": "aarch64",
        "containerized": false,
        "hostname": "elastic-agent-97786",
        "id": "8269eab9370b4429947d2a16c3058fcb",
        "ip": [
            "172.19.0.2",
            "172.18.0.4"
        ],
        "mac": [
            "02-42-AC-12-00-04",
            "02-42-AC-13-00-02"
        ],
        "name": "elastic-agent-97786",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "6.10.0-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/santa.log"
        },
        "level": "I",
        "offset": 1150
    },
    "process": {
        "args": [
            "/usr/sbin/newsyslog"
        ],
        "entity_id": "fa4b2c2b-d00f-4e96-aaf3-d5de2b8544e6-71559-1096716",
        "executable": "/usr/sbin/newsyslog",
        "name": "newsyslog",
        "parent": {
            "pid": 1
        },
        "pid": 71559,
        "start": "2022-05-12T11:30:05.248Z"
    },
    "related": {
        "user": [
            "root"
        ]
    },
    "santa": {
        "action": "LINK",
        "pidversion": 1096716
    },
    "tags": [
        "santa-log"
    ],
    "user": {
        "id": "0",
        "name": "root"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

关键字

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

主机是否为容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

input.type

输入类型

关键字

log.offset

日志偏移量

长整型

santa.action

操作

关键字

santa.certificate.common_name

来自代码签名证书的通用名称。

关键字

santa.certificate.sha256

代码签名证书的 SHA256 哈希值。

关键字

santa.decision

santad 采取的决策。

关键字

santa.disk.appearance

卷操作的时间戳。

日期

santa.disk.bsdname

磁盘 BSD 名称。

关键字

santa.disk.bus

磁盘总线协议。

关键字

santa.disk.dmgpath

DMG(磁盘镜像)路径。

关键字

santa.disk.fs

磁盘卷类型(文件系统类型)。

关键字

santa.disk.model

磁盘型号。

关键字

santa.disk.mount

磁盘卷路径。

关键字

santa.disk.serial

磁盘序列号。

关键字

santa.disk.volume

卷名称。

关键字

santa.event.uid

事件 UID。

关键字

santa.event.user

事件用户。

关键字

santa.explain

决策的进一步详细信息。

关键字

santa.graphical_session_id

图形会话 ID。

长整型

santa.mode

Santa 的操作模式。

关键字

santa.pidversion

macOS 进程标识版本。

长整型

santa.reason

决策的原因。

关键字

santa.team_id

团队 ID。

关键字

更新日志

编辑
更新日志
版本 详情 Kibana 版本

3.22.0

增强 ( 查看拉取请求 )
不要在主提取管道中删除 event.original

8.13.0 或更高版本

3.21.0

增强 ( 查看拉取请求 )
event.kind 设置为“pipeline_error”的文档添加 “preserve_original_event” 标签。

8.13.0 或更高版本

3.20.0

增强 ( 查看拉取请求 )
更新提取管道以避免因意外的日志格式而导致的失败。

8.13.0 或更高版本

3.19.1

Bug 修复 ( 查看拉取请求 )
在提取管道中引用变量时使用三重大括号 Mustache 模板。

8.13.0 或更高版本

3.19.0

增强 ( 查看拉取请求 )
添加对团队 ID 字段的支持。

8.13.0 或更高版本

3.18.0

增强 ( 查看拉取请求 )
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使之冗余的 ECS 字段。

8.13.0 或更高版本

3.17.0

增强 ( 查看拉取请求 )
将清单格式版本更新为 v3.0.3。

8.7.1 或更高版本

3.16.2

增强 ( 查看拉取请求 )
更改了所有者

8.7.1 或更高版本

3.16.1

Bug 修复 ( 查看拉取请求 )
修复 exclude_files 模式。

8.7.1 或更高版本

3.16.0

增强 ( 查看拉取请求 )
ECS 版本更新至 8.11.0。

8.7.1 或更高版本

3.15.0

增强 ( 查看拉取请求 )
改进 event.original 检查,以避免在设置时出现错误。

8.7.1 或更高版本

3.14.0

增强 ( 查看拉取请求 )
ECS 版本更新至 8.10.0。

8.7.1 或更高版本

3.13.0

增强 ( 查看拉取请求 )
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了带点的 YAML 键。将 owner.type: elastic 添加到包清单。

8.7.1 或更高版本

3.12.0

增强 ( 查看拉取请求 )
添加 tags.yml 文件,以便将集成的仪表板和保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.7.1 或更高版本

3.11.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.9.0。

8.7.1 或更高版本

3.10.0

增强 ( 查看拉取请求 )
将仪表板转换为 Lens。

8.7.1 或更高版本

3.9.0

增强 ( 查看拉取请求 )
更新到 package-spec 2.9.0。

8.1.0 或更高版本

3.8.0

增强 ( 查看拉取请求 )
确保为管道错误正确设置 event.kind。

8.1.0 或更高版本

3.7.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.8.0。

8.1.0 或更高版本

3.6.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.7.0。

8.1.0 或更高版本

3.5.1

增强 ( 查看拉取请求 )
添加了类别和/或子类别。

8.1.0 或更高版本

3.5.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.6.0。

8.1.0 或更高版本

3.4.1

增强 ( 查看拉取请求 )
将仪表板中的可视化项迁移到按值,以最大限度地减少已保存的对象混乱并减少加载时间

8.1.0 或更高版本

3.4.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.5.0。

7.17.0 或更高版本
8.0.0 或更高版本

3.3.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.4.0

7.17.0 或更高版本
8.0.0 或更高版本

3.2.1

增强 ( 查看拉取请求 )
更新包名称和描述以与标准措辞对齐

7.17.0 或更高版本
8.0.0 或更高版本

3.2.0

增强 ( 查看拉取请求 )
将包更新至 ECS 8.3.0。

7.17.0 或更高版本
8.0.0 或更高版本

3.1.0

增强 ( 查看拉取请求 )
添加 process.entity_id 字段。

7.17.0 或更高版本
8.0.0 或更高版本

3.0.0

增强 ( 查看拉取请求 )
更新日志格式以支持 Santa 的 GA 版本。不再接受预 GA Santa 日志格式(大约在 2017 年)。

2.1.0

增强 ( 查看拉取请求 )
更新到 ECS 8.2

7.17.0 或更高版本
8.0.0 或更高版本

2.0.1

增强 ( 查看拉取请求 )
添加多字段的文档

7.17.0 或更高版本
8.0.0 或更高版本

2.0.0

增强 ( 查看拉取请求 )
更新到 ECS 8.0

增强 ( 查看拉取请求 )
process.ppid 替换为 process.parent.pid(重大更改)

7.17.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 ( 查看拉取请求 )
添加 8.0.0 版本约束

7.16.0 或更高版本
8.0.0 或更高版本

1.0.3

增强 ( 查看拉取请求 )
与指南统一

7.16.0 或更高版本

1.0.2

增强 ( 查看拉取请求 )
更新标题和描述。

7.16.0 或更高版本

1.0.1

Bug 修复 ( 查看拉取请求 )
修复检查 forwarded 标签的逻辑

1.0.0

增强 ( 查看拉取请求 )
发布 GA 版本

0.4.0

增强 ( 查看拉取请求 )
更新至 ECS 1.12.0

0.3.2

增强 ( 查看拉取请求 )
转换为生成的 ECS 字段

0.3.1

增强 (查看拉取请求)
更新至 ECS 1.11.0

0.3.0

增强 (查看拉取请求)
更新集成描述

0.2.0

增强 (查看拉取请求)
设置 "event.module" 和 "event.dataset"

0.1.0

增强 (查看拉取请求)
更新至 ECS 1.10.0 并添加 event.original 选项

0.0.3

增强 (查看拉取请求)
更新至 ECS 1.9.0

0.0.2

增强 (查看拉取请求)
修复与 Kibana 的兼容性

0.0.1

增强 (查看拉取请求)
初始版本

« Google Google Workspace 集成 »