« ZeroFox 云平台集成 ZooKeeper 集成 »
Elastic 文档 Elastic 集成

Zero Networks 集成

编辑

Zero Networks 集成

编辑

版本

1.17.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基础版

支持级别
这是什么?

合作伙伴

Zero Networks 被众多组织用于对网络进行微隔离并在任何地方应用 MFA。

Zero Networks 集成使用 Zero Networks 的 API 来检索审计事件并将其摄取到 Elasticsearch 中。这使您可以通过 Elasticsearch 搜索、观察和可视化 Zero Networks 审计事件。

运行此集成的 Elastic Agent 使用其 API 与 Zero Networks 的基础设施交互,以检索环境的审计日志。

数据流

编辑

Zero Networks 集成收集一种类型的数据流:日志。

日志 帮助您记录 Zero Networks 中发生的事件。Zero Networks 集成收集的日志数据流包括审计事件。

要求

编辑

您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。

其他要求包括

  • 具有读取权限的 Zero Networks API 令牌

设置

编辑

有关如何设置集成的分步说明,请参阅入门指南。

获取 API 令牌

编辑
  1. 登录到 Zero Networks 门户
  2. 单击设置
  3. 单击集成下的API
  4. 单击添加新令牌
  5. 输入令牌名称,例如Elastic Integration。将有效期设置为36 个月。单击添加
  6. 复制生成的令牌以供以后使用。

在 Elastic 中启用集成

编辑
  1. 在 Kibana 中,转到管理 > 集成
  2. “搜索集成”搜索栏中,键入Zero Networks
  3. 从搜索结果中单击“Zero Networks”集成。
  4. 单击添加 Zero Networks按钮以添加 Zero Networks 集成。

配置 Zero Networks 审计日志数据流

编辑

输入值“API 令牌”

  1. 从前面的步骤中复制的API 令牌

某些操作系统可能未安装根 CA。您可以下载USERTrust RSA 证书颁发机构并安装它。作为一种解决方法(不推荐),您可以在设置下的SSL框中将verification_mode: none设置为高级选项

日志参考

编辑

审计

编辑

Audit数据流提供来自 Zero Networks 的以下类型的事件:审计。

示例

audit 的示例事件如下所示

{
	"@timestamp": [
		"2023-03-22T14:57:23.356Z"
	],
	"agent.ephemeral_id": [
		"01887fa8-409b-44a1-aa70-fa9cc4f2fd90"
	],
	"agent.id": [
		"55518990-e6d4-4350-b447-88837a15d1d2"
	],
	"agent.name": [
		"docker-fleet-agent"
	],
	"agent.type": [
		"filebeat"
	],
	"agent.version": [
		"8.6.2"
	],
	"data_stream.dataset": [
		"zeronetworks.audit"
	],
	"data_stream.namespace": [
		"default"
	],
	"data_stream.type": [
		"logs"
	],
	"ecs.version": [
		"8.0.0"
	],
	"elastic_agent.id": [
		"55518990-e6d4-4350-b447-88837a15d1d2"
	],
	"elastic_agent.snapshot": [
		false
	],
	"elastic_agent.version": [
		"8.6.2"
	],
	"event.action": [
		"API Token created"
	],
	"event.agent_id_status": [
		"verified"
	],
	"event.category": [
		"configuration"
	],
	"event.code": [
		"25"
	],
	"event.created": [
		"2023-03-24T14:45:14.459Z"
	],
	"event.dataset": [
		"zeronetworks.audit"
	],
	"event.id": [
		"+Ipxg6VvICbeFz5QoqS1i3GZETE="
	],
	"event.ingested": [
		"2023-03-24T14:45:15.000Z"
	],
	"event.kind": [
		"event"
	],
	"event.module": [
		"zeronetworks"
	],
	"event.original": [
		"{\"auditType\":25,\"destinationEntitiesList\":[{\"id\":\"m:6454ff4dd25ebda5279fd4823e5e1d026e2ae996\",\"name\":\"elastic\"}],\"details\":\"{\\\"name\\\":\\\"elastic\\\",\\\"clientId\\\":\\\"m:6454ff4dd25ebda5279fd4823e5e1d026e2ae996\\\",\\\"expiry\\\":\\\"2025-03-22T14:57:23.000Z\\\",\\\"issuedAt\\\":\\\"2023-03-22T14:57:23.000Z\\\",\\\"scope\\\":5,\\\"audience\\\":\\\"portal.zeronetworks.com\\\",\\\"issuer\\\":\\\"zeronetworks.com/api/v1/access-token\\\",\\\"type\\\":\\\"JWT\\\"}\",\"enforcementSource\":4,\"isoTimestamp\":\"2023-03-22T14:57:23.356Z\",\"parentObjectId\":\"\",\"performedBy\":{\"id\":\"39cc28f6-7bba-4310-95e6-a7e7189a3ed5\",\"name\":\"Nicholas DiCola\"},\"reportedObjectId\":\"m:6454ff4dd25ebda5279fd4823e5e1d026e2ae996\",\"timestamp\":1679497043356,\"userRole\":1}"
	],
	"event.outcome": [
		"success"
	],
	"event.type": [
		"info"
	],
	"input.type": [
		"httpjson"
	],
	"related.user": [
		"39cc28f6-7bba-4310-95e6-a7e7189a3ed5",
		"Nicholas DiCola"
	],
	"tags": [
		"forwarded",
		"zeronetworks-audit",
		"preserve_original_event"
	],
	"user.full_name": [
		"Nicholas DiCola"
	],
	"user.id": [
		"39cc28f6-7bba-4310-95e6-a7e7189a3ed5"
	],
	"zeronetworks.audit.destinationEntitiesList.id": [
		"m:6454ff4dd25ebda5279fd4823e5e1d026e2ae996"
	],
	"zeronetworks.audit.destinationEntitiesList.name": [
		"elastic"
	],
	"zeronetworks.audit.details.audience": [
		"portal.zeronetworks.com"
	],
	"zeronetworks.audit.details.clientId": [
		"m:6454ff4dd25ebda5279fd4823e5e1d026e2ae996"
	],
	"zeronetworks.audit.details.expiry": [
		"2025-03-22T14:57:23.000Z"
	],
	"zeronetworks.audit.details.issuedAt": [
		"2023-03-22T14:57:23.000Z"
	],
	"zeronetworks.audit.details.issuer": [
		"zeronetworks.com/api/v1/access-token"
	],
	"zeronetworks.audit.details.name": [
		"elastic"
	],
	"zeronetworks.audit.details.scope": [
		5
	],
	"zeronetworks.audit.details.type": [
		"JWT"
	],
	"zeronetworks.audit.enforcementSource": [
		4
	],
	"zeronetworks.audit.reportedObjectId": [
		"m:6454ff4dd25ebda5279fd4823e5e1d026e2ae996"
	],
	"zeronetworks.audit.userRole": [
		1
	]
}
导出的字段
编辑
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键字

cloud.instance.id

主机实例 ID。

关键字

cloud.instance.name

主机实例名称。

关键字

cloud.machine.type

主机的机器类型。

关键字

cloud.project.id

云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机、资源或服务所在的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所基于的映像名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集名称。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

ecs.version

此事件符合的 ECS 版本。ecs.version是一个必需字段,必须存在于所有事件中。在跨多个索引进行查询时(可能符合稍微不同的 ECS 版本),此字段允许集成调整到事件的架构版本。

关键字

error.message

错误消息。

match_only_text

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实施者定义。

关键字

event.code

事件捕获的审计类型

整数

event.category

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如,筛选 event.category:process 将生成与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许正确分类属于多个类别的某些事件。

关键字

event.created

事件创建时间

日期

event.dataset

事件数据集

constant_keyword

event.id

用于描述事件的唯一 ID。

关键字

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

日期

event.kind

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。event.kind 提供关于事件包含的信息类型的高级信息,而不具体说明事件的内容。例如,此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制,它也可能有助于了解数据是否以固定时间间隔传入。

关键字

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于演示日志完整性或在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下,例如,用于重新索引。此字段未建立索引,并且禁用了 doc_values。它无法搜索,但可以从 _source 中检索。如果用户希望覆盖此设置并索引此字段,请参阅Elasticsearch 参考中的字段数据类型

关键字

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 只是表示事件是否表示从生成事件的实体的角度来看是成功还是失败。

关键字

event.type

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”,当与 event.category 字段值一起使用时,可以按适合单个可视化的级别筛选事件。此字段是一个数组。这将允许正确分类属于多个事件类型的某些事件。

关键字

host.architecture

操作系统架构。

关键字

host.containerized

如果主机是容器。

布尔值

host.domain

主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于 hostname 并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前使用的 beat.name

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

host.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

关键字

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称,不带版本。

关键字

host.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商,这可以是机器类型,例如 t2.medium。如果是虚拟机,则可以是容器,例如,或者其他在您的环境中具有意义的信息。

关键字

input.type

Filebeat 输入的类型。

关键字

related.user

事件中看到的所有用户名或其他用户标识符。

关键字

zeronetworks.audit.destinationEntitiesList.id

受影响实体的 id

关键字

zeronetworks.audit.destinationEntitiesList.name

受影响实体的 name

关键字

zeronetworks.audit.details.*

审计 details 属性的各种字段。因审计类型而异。

关键字

zeronetworks.audit.enforcementsource

审计事件的 平台

整数

zeronetworks.audit.userrole

执行操作的用户的 用户角色

整数

zeronetworks.audit.userrolename

执行操作的用户的 用户角色

关键字

tags

用于标记每个事件的关键字列表。

关键字

user.full_name

用户的全名(如果可用)。

关键字

user.id

用户的唯一标识符。

关键字

更新日志

编辑
更新日志
版本 详情 Kibana 版本

1.17.0

增强 (查看拉取请求)
请勿在主摄取管道中删除 event.original

8.13.0 或更高版本

1.16.0

增强 (查看拉取请求)
将 "preserve_original_event" 标签添加到 event.kind 设置为 "pipeline_error" 的文档。

8.13.0 或更高版本

1.15.1

错误修复 (查看拉取请求)
在摄取管道中引用变量时,请使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.15.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除由 ecs@mappings 组件模板变得冗余的 ECS 字段。

8.13.0 或更高版本

1.14.0

增强 (查看拉取请求)
改进对空响应的处理。

8.12.0 或更高版本

1.13.0

增强 (查看拉取请求)
添加仪表板。

8.12.0 或更高版本

1.12.0

增强 (查看拉取请求)
将敏感值设置为机密。

8.12.0 或更高版本

1.11.1

增强 (查看拉取请求)
更改了所有者

8.6.2 或更高版本

1.11.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为 5 个。

8.6.2 或更高版本

1.10.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.6.2 或更高版本

1.9.0

增强 (查看拉取请求)
改进了 event.original 检查,以避免在设置时出现错误。

8.6.2 或更高版本

1.8.0

增强 (查看拉取请求)
设置 community 所有者类型。

8.6.2 或更高版本

1.7.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.6.2 或更高版本

1.6.0

增强 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点分隔的 YAML 键。将 owner.type: elastic 添加到软件包清单。

8.6.2 或更高版本

1.5.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为 "Security Solution",并显示在 Security Solution UI 中。

8.6.2 或更高版本

1.4.0

增强 (查看拉取请求)
添加对 HTTP 请求跟踪日志记录的支持。

8.6.2 或更高版本

1.3.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

8.6.2 或更高版本

1.2.0

增强 (查看拉取请求)
记录持续时间单位。

8.6.2 或更高版本

1.1.0

增强 (查看拉取请求)
记录有效的持续时间单位。

8.6.2 或更高版本

1.0.0

增强 (查看拉取请求)
正式发布 Zero Networks。

8.6.2 或更高版本

0.4.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

0.3.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

0.2.1

错误修复 (查看拉取请求)
修复摄取管道 event.category 富集。

0.2.0

增强 (查看拉取请求)
将软件包规范版本更新至 2.7.0。

0.1.0

增强 (查看拉取请求)
软件包的初始草案

« ZeroFox 云平台集成 ZooKeeper 集成 »