Mengumpulkan log Microsoft Defender for Identity

Didukung di:

Dokumen ini menjelaskan cara menyerap log Microsoft Defender for Identity ke Google Security Operations menggunakan Azure Storage. Parser memproses log JSON, atau log berformat CEF jika penguraian JSON gagal. Log ini mengekstrak kolom, melakukan transformasi data seperti konversi string, penggantian nama, dan penggabungan, serta memetakannya ke Model Data Terpadu (UDM), menangani berbagai format log, dan memperkaya data dengan konteks tambahan seperti label dan detail autentikasi.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • tenant Azure yang aktif
  • Akses istimewa ke Azure dan peran Administrative Security

Mengonfigurasi akun Azure Storage

  1. Di konsol Azure, telusuri Storage accounts.
  2. Klik Create.
  3. Tentukan nilai untuk parameter input berikut:
    • Langganan: pilih langganan.
    • Grup Resource: pilih grup resource.
    • Region: pilih region.
    • Performa: pilih jenis performa (direkomendasikan Standar).
    • Redundansi: pilih jenis redundansi (direkomendasikan GRS atau LRS).
    • Nama akun penyimpanan: masukkan nama untuk akun Penyimpanan baru.
  4. Klik Review + create.
  5. Tinjau ringkasan akun, lalu klik Buat.
  6. Dari halaman Overview akun penyimpanan, pilih submenu Access keys di Security + networking.
  7. Klik Show di samping key1 atau key2.
  8. Klik Salin ke papan klip untuk menyalin kunci.

  9. Simpan kunci di lokasi yang aman untuk referensi di masa mendatang.

  10. Dari halaman Overview akun penyimpanan, pilih submenu Endpoints di Settings.

  11. Klik Salin ke papan klip untuk menyalin URL endpoint Blob service. (misalnya, https://<storageaccountname>.blob.core.windows.net).

  12. Simpan URL endpoint di lokasi yang aman untuk referensi di masa mendatang.

  13. Buka Ringkasan > Tampilan JSON.

  14. Salin dan simpan ID Resource Storage.

Mengonfigurasi Ekspor Log untuk Microsoft Defender for Identity

  1. Login ke Defender Portal menggunakan akun istimewa.
  2. Buka Setelan.
  3. Pilih tab Microsoft Defender XDR.
  4. Pilih Streaming API dari bagian umum, lalu klik Tambahkan.
  5. Pilih Teruskan peristiwa ke Azure Storage.
  6. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama yang unik dan bermakna.
    • Pilih Teruskan peristiwa ke Azure Storage.
    • ID Resource Akun Penyimpanan: Masukkan ID resource Azure Storage yang disalin sebelumnya.
    • Jenis Acara: Pilih Peringatan & Perilaku dan Perangkat.
  7. Klik Kirim.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed Microsoft Defender for Identity

  1. Klik paket Microsoft Defender.

  2. Tentukan nilai berikut:

    • Jenis Sumber: Microsoft Azure Blob Storage V2.

    • Azure uri: URL endpoint blob.

      ENDPOINT_URL/BLOB_NAME

      Ganti kode berikut:

      • ENDPOINT_URL: URL endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: nama blob. (seperti, insights-logs-<logname>)

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • Kunci bersama: kunci akses ke Azure Blob Storage.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  3. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
category metadata.log_type Kolom log mentah category dipetakan ke metadata.log_type.
properties.AccountDisplayName Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AccountName Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AccountUpn Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.ActionType metadata.product_event_type Kolom log mentah properties.ActionType dipetakan ke metadata.product_event_type.
properties.AdditionalFields.ACTOR.ACCOUNT Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.ACTOR.DEVICE principal.asset.asset_id Parser mengekstrak nilai properties.AdditionalFields.ACTOR.DEVICE dan menambahkan ASSET ID: di depannya.
properties.AdditionalFields.ACTOR.ENTITY_USER Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.Count Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.DestinationComputerDnsName Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.DestinationComputerObjectGuid target.asset.product_object_id Elemen pertama array properties.AdditionalFields.DestinationComputerObjectGuid dipetakan ke target.asset.product_object_id. Elemen berikutnya dipetakan ke additional.fields dengan kunci seperti DestinationComputerObjectGuid_1, DestinationComputerObjectGuid_2, dll.
properties.AdditionalFields.DestinationComputerOperatingSystem target.asset.platform_software.platform_version Elemen pertama array properties.AdditionalFields.DestinationComputerOperatingSystem dipetakan ke target.asset.platform_software.platform_version. Elemen berikutnya dipetakan ke additional.fields dengan kunci seperti DestinationComputerOperatingSystem_1, DestinationComputerOperatingSystem_2, dll.
properties.AdditionalFields.DestinationComputerOperatingSystemType target.asset.platform_software.platform Jika nilainya adalah windows, kolom UDM akan ditetapkan ke WINDOWS.
properties.AdditionalFields.DestinationComputerOperatingSystemVersion target.platform_version Elemen pertama array properties.AdditionalFields.DestinationComputerOperatingSystemVersion dipetakan ke target.platform_version. Elemen berikutnya dipetakan ke additional.fields dengan kunci seperti DestinationComputerOperatingSystemVersion1, DestinationComputerOperatingSystemVersion2, dll.
properties.AdditionalFields.FROM.DEVICE principal.asset.asset_id Parser mengekstrak nilai properties.AdditionalFields.FROM.DEVICE dan menambahkan ASSET ID: di depannya.
properties.AdditionalFields.KerberosDelegationType Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.SourceAccountId Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.SourceAccountSid Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.SourceComputerObjectGuid principal.asset.product_object_id Kolom log mentah properties.AdditionalFields.SourceComputerObjectGuid dipetakan ke principal.asset.product_object_id.
properties.AdditionalFields.SourceComputerOperatingSystem principal.asset.platform_software.platform_version Kolom log mentah properties.AdditionalFields.SourceComputerOperatingSystem dipetakan ke principal.asset.platform_software.platform_version.
properties.AdditionalFields.SourceComputerOperatingSystemType principal.asset.platform_software.platform_version Jika nilainya adalah windows, kolom UDM akan ditetapkan ke WINDOWS.
properties.AdditionalFields.SourceComputerOperatingSystemVersion Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.Spns Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.AdditionalFields.TARGET_OBJECT.USER target.user.userid Elemen pertama array properties.AdditionalFields.TARGET_OBJECT.USER dipetakan ke target.user.userid. Elemen berikutnya dipetakan ke additional.fields dengan kunci seperti TARGET_OBJECT.USER_1, TARGET_OBJECT.USER_2, dll.
properties.AdditionalFields.TO.DEVICE target.asset.asset_id Elemen pertama array properties.AdditionalFields.TO.DEVICE dipetakan ke target.asset.asset_id dengan ASSET ID: yang ditambahkan di depannya. Elemen berikutnya dipetakan ke additional.fields dengan kunci seperti TODEVICE1, TODEVICE2, dll.
properties.AuthenticationDetails extensions.auth.auth_details Parser menghapus kurung kurawal, kurung siku, dan tanda petik ganda dari nilai dan menambahkan AuthenticationDetails: di depannya.
properties.DeliveryAction additional.fields Dipetakan dengan kunci DeliveryAction.
properties.DeliveryLocation additional.fields Dipetakan dengan kunci DeliveryLocation.
properties.DestinationDeviceName target.hostname, target.asset.hostname Kolom properties.DestinationDeviceName log mentah dipetakan ke target.hostname dan target.asset.hostname.
properties.DestinationIPAddress target.ip, target.asset.ip Kolom properties.DestinationIPAddress log mentah dipetakan ke target.ip dan target.asset.ip.
properties.DestinationPort target.port Kolom log mentah properties.DestinationPort dipetakan ke target.port.
properties.DeviceName principal.hostname, principal.asset.hostname Kolom properties.DeviceName log mentah dipetakan ke principal.hostname dan principal.asset.hostname.
properties.EmailClusterId additional.fields Dipetakan dengan kunci EmailClusterId.
properties.EmailDirection network.direction Jika nilainya adalah Inbound, kolom UDM akan ditetapkan ke INBOUND. Jika nilainya adalah Outbound, kolom UDM akan ditetapkan ke OUTBOUND. Jika tidak, nilai ini akan ditetapkan ke UNKNOWN_DIRECTION.
properties.EmailLanguage additional.fields Dipetakan dengan kunci EmailLanguage.
properties.InitiatingProcessAccountDomain principal.administrative_domain Kolom log mentah properties.InitiatingProcessAccountDomain dipetakan ke principal.administrative_domain.
properties.InitiatingProcessAccountSid principal.user.windows_sid Kolom log mentah properties.InitiatingProcessAccountSid dipetakan ke principal.user.windows_sid.
properties.InitiatingProcessCommandLine principal.process.command_line Kolom log mentah properties.InitiatingProcessCommandLine dipetakan ke principal.process.command_line.
properties.InitiatingProcessFileName principal.process.file.full_path Digunakan bersama dengan properties.InitiatingProcessFolderPath untuk membuat jalur lengkap. Jika properties.InitiatingProcessFolderPath sudah berisi nama file, nama file tersebut akan digunakan secara langsung.
properties.InitiatingProcessFolderPath principal.process.file.full_path Digunakan bersama dengan properties.InitiatingProcessFileName untuk membuat jalur lengkap.
properties.InitiatingProcessId principal.process.pid Kolom log mentah properties.InitiatingProcessId dipetakan ke principal.process.pid.
properties.InitiatingProcessIntegrityLevel about.labels Dipetakan dengan kunci InitiatingProcessIntegrityLevel.
properties.InitiatingProcessMD5 principal.process.file.md5 Kolom log mentah properties.InitiatingProcessMD5 dipetakan ke principal.process.file.md5.
properties.InitiatingProcessParentId principal.process.parent_process.pid Kolom log mentah properties.InitiatingProcessParentId dipetakan ke principal.process.parent_process.pid.
properties.InitiatingProcessParentFileName principal.process.parent_process.file.full_path Kolom log mentah properties.InitiatingProcessParentFileName dipetakan ke principal.process.parent_process.file.full_path.
properties.InitiatingProcessSHA1 principal.process.file.sha1 Kolom log mentah properties.InitiatingProcessSHA1 dipetakan ke principal.process.file.sha1.
properties.InitiatingProcessSHA256 principal.process.file.sha256 Kolom log mentah properties.InitiatingProcessSHA256 dipetakan ke principal.process.file.sha256.
properties.InitiatingProcessTokenElevation about.labels Dipetakan dengan kunci InitiatingProcessTokenElevation.
properties.InternetMessageId additional.fields Parser menghapus tanda kurung sudut dan memetakan nilai dengan kunci InternetMessageId.
properties.IPAddress principal.ip, principal.asset.ip Kolom properties.IPAddress log mentah dipetakan ke principal.ip dan principal.asset.ip.
properties.LogonType extensions.auth.mechanism Digunakan untuk mendapatkan nilai extensions.auth.mechanism.
properties.Port principal.port Kolom log mentah properties.Port dipetakan ke principal.port.
properties.PreviousRegistryKey src.registry.registry_key Kolom log mentah properties.PreviousRegistryKey dipetakan ke src.registry.registry_key.
properties.PreviousRegistryValueData src.registry.registry_value_data Kolom log mentah properties.PreviousRegistryValueData dipetakan ke src.registry.registry_value_data.
properties.PreviousRegistryValueName src.registry.registry_value_name Kolom log mentah properties.PreviousRegistryValueName dipetakan ke src.registry.registry_value_name.
properties.Query principal.user.attribute.labels Dipetakan dengan kunci LDAP Search Scope.
properties.RecipientEmailAddress Tidak Dipetakan Kolom ini tidak dipetakan ke objek IDM di UDM.
properties.RegistryKey target.registry.registry_key Kolom log mentah properties.RegistryKey dipetakan ke target.registry.registry_key.
properties.RegistryValueData target.registry.registry_value_data Kolom log mentah properties.RegistryValueData dipetakan ke target.registry.registry_value_data.
properties.RegistryValueName target.registry.registry_value_name Kolom log mentah properties.RegistryValueName dipetakan ke target.registry.registry_value_name.
properties.ReportId about.labels Dipetakan dengan kunci ReportId.
properties.SenderIPv4 principal.ip, principal.asset.ip Kolom properties.SenderIPv4 log mentah dipetakan ke principal.ip dan principal.asset.ip.
properties.SenderMailFromAddress principal.user.attribute.labels Dipetakan dengan kunci SenderMailFromAddress.
properties.SenderMailFromDomain principal.user.attribute.labels Dipetakan dengan kunci SenderMailFromDomain.
properties.SenderObjectId principal.user.product_object_id Kolom log mentah properties.SenderObjectId dipetakan ke principal.user.product_object_id.
properties.Timestamp metadata.event_timestamp Kolom log mentah properties.Timestamp dipetakan ke metadata.event_timestamp.
tenantId observer.cloud.project.id Kolom log mentah tenantId dipetakan ke observer.cloud.project.id.
T/A extensions.auth.type Nilai MACHINE ditetapkan oleh parser.
T/A metadata.event_type Diperoleh berdasarkan kolom category dan properties.ActionType. Dapat berupa USER_LOGIN, USER_RESOURCE_ACCESS, USER_CHANGE_PASSWORD, REGISTRY_MODIFICATION, REGISTRY_DELETION, REGISTRY_CREATION, GENERIC_EVENT, atau STATUS_UPDATE.
T/A metadata.vendor_name Nilai Microsoft ditetapkan oleh parser.
T/A metadata.product_name Nilai Microsoft Defender Identity ditetapkan oleh parser.
cs1 metadata.url_back_to_product Kolom log mentah cs1 dipetakan ke metadata.url_back_to_product.
externalId metadata.product_log_id Kolom log mentah externalId dipetakan ke metadata.product_log_id.
msg metadata.description Kolom log mentah msg dipetakan ke metadata.description.
rule_name security_result.rule_name Kolom log mentah rule_name dipetakan ke security_result.rule_name.
severity security_result.severity Kolom log mentah severity dipetakan ke security_result.severity.
shost principal.hostname, principal.asset.hostname Kolom shost log mentah dipetakan ke principal.hostname dan principal.asset.hostname.
src principal.ip Kolom log mentah src dipetakan ke principal.ip.
suser principal.user.user_display_name Kolom log mentah suser dipetakan ke principal.user.user_display_name.
time metadata.event_timestamp Kolom log mentah time dipetakan ke metadata.event_timestamp.
userid principal.user.userid Kolom log mentah userid dipetakan ke principal.user.userid.
T/A security_result.action Diperoleh berdasarkan kolom properties.ActionType. Dapat berupa ALLOW atau BLOCK.
T/A security_result.summary Diperoleh dari kolom category atau kolom properties.ActionType.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.