收集 Microsoft Windows Defender ATP 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Azure 儲存空間帳戶,將 Microsoft Windows Defender ATP 記錄檔收集到 Google Security Operations。這個剖析器會處理 SYSLOG、XML 和 JSON 格式的 Windows Defender ATP 記錄。並將這些格式的各種欄位正規化為統一結構,擷取事件詳細資料、使用者資料、程序資訊、網路活動和安全性結果等重要資訊,然後對應至 UDM。剖析器也會根據 EventID 和 ActionType 執行條件邏輯,將事件分類,並使用與各事件類型相關的特定詳細資料擴充 UDM。
事前準備
- 確認您擁有 Google SecOps 執行個體。
- 確認您有有效的 Azure 訂閱項目。
- 確認您具備全域管理員或 Microsoft Defender 進階威脅搜尋角色。
- 登入 Azure 租戶,依序前往「Subscriptions」>「Your subscription」>「Resource providers」> 註冊 Microsoft.Insights。
設定 Azure 儲存體帳戶
- 在 Azure 控制台中,搜尋「儲存體帳戶」。
- 點選「建立」。
- 指定下列輸入參數的值:
- 「訂閱」:選取訂閱方案。
- 資源群組:選取資源群組。
- 區域:選取區域。
- 效能:選取效能 (建議使用「標準」)。
- 備援:選取備援 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
- 按一下「Review + create」。
- 查看帳戶總覽,然後按一下「建立」。
- 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
- 按一下「key1」或「key2」旁的「顯示」
- 按一下「複製到剪貼簿」即可複製金鑰。
- 將金鑰妥善儲存於安全的位置,以供日後使用。
- 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
- 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址,例如
https://<storageaccountname>.blob.core.windows.net。 - 請將端點網址儲存於安全位置,以供日後使用。
設定 Windows Defender 進階威脅搜尋記錄匯出功能
- 以全域管理員或安全性管理員身分登入 security.microsoft.com。
- 依序前往「設定」> Microsoft Defender XDR。
- 選取「Streaming API」。
- 按一下「新增」。
- 選取「將事件轉送至 Azure 儲存空間」。
- 前往先前建立的儲存空間帳戶。
- 複製「資源 ID」,然後輸入「儲存空間帳戶資源 ID」。
- 選取所有事件類型。
- 按一下 [儲存]。
在 Google SecOps 中設定動態饋給,擷取 Windows Defender 進階威脅搜尋記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如
Defender ATP Logs。 - 選取「Microsoft Azure Blob Storage V2」做為「來源類型」。
- 選取「Windows Defender ATP」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- Azure URI:Blob 端點網址。
ENDPOINT_URL/BLOB_NAME- 更改下列內容:
ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)。BLOB_NAME:Blob 的名稱,例如<logname>-logs。
來源刪除選項:根據偏好選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
共用金鑰:Azure Blob 儲存體的存取金鑰。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
- Azure URI:Blob 端點網址。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
AccountName |
target.user.userid |
如果 properties.AccountName 存在且 properties.InitiatingProcessAccountName 為空白,則會填入這個欄位。 |
AccountSid |
target.user.windows_sid |
如果存在 properties.AccountSid,則會填入這個值。 |
AccountType |
principal.user.attribute.labels |
鍵:AccountType,值:properties.AccountType |
Action |
security_result.action_details |
properties.Action 的值。 |
Action |
security_result.action |
如果 properties.Action 包含 quarantine,值為 QUARANTINE。 |
Action Name |
security_result.description |
EventID 為 1117 時,「security_result.description」的一部分。 |
AdditionalFields |
about.labels、principal.resource.attribute.labels |
鍵:AdditionalFields,值:properties.AdditionalFields (或 AdditionalFields,如果剖析為 JSON)。properties.AdditionalFields (或以 JSON 格式剖析時的 AdditionalFields2) 中的個別鍵/值組合也會新增為標籤。 |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
鍵:ClientMachine,值:_AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
當 ActionType 為 PowerShellCommand 時使用。 |
AdditionalFields.Count |
read_only_udm.additional.fields |
鍵:Count,值:properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
鍵:DesiredAccess,值:_AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
當 ActionType 為 DnsQueryResponse 時使用。 |
AdditionalFields.DnsQueryResult |
network.dns.answers |
在迴圈中剖析,以擷取 DNS 答案。Result 會變成 name,DnsQueryType 則會對應到數字 type。 |
AdditionalFields.Experience |
security_result.threat_name |
當 properties.ActionType 包含 SmartScreen 時使用。 |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
鍵:FileOperation,值:_AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
鍵:InitiatingProcess,值:_AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
鍵:IsAudit,值:_AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
如果值為「true」,則將 auth_mechanism 設為「LOCAL」。如果是 false,則設為 REMOTE。 |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
鍵:IsRemoteMachine,值:_AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
鍵:NamedPipeEnd,值:_AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
鍵:PipeName,值:_AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
鍵:RemoteClientsAccess,值:_AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
鍵:SessionId,值:_AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
當 properties.ActionType 為 AntivirusDetection 時使用。 |
AdditionalFields.TaskName |
target.resource.name |
當 properties.ActionType 包含 Scheduled 時使用。 |
AdditionalFields.ThreatName |
security_result.threat_name |
當 properties.ActionType 為 AntivirusDetection 時使用。 |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
鍵:ThreadId,值:_AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
鍵:TokenModificationProperties,值:_AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
鍵:TotalBytesCopied,值:_AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels、principal.resource.attribute.labels |
鍵:WasExecutingWhileDetected,值:_AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
如果值為「true」,則將 sr_action 設為「BLOCK」。如果是 false,則設為 ALLOW。 |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
鍵:ApplicationId,值:properties.ApplicationId |
category |
metadata.product_name |
category 的值。 |
category |
metadata.product_event_type |
已移除 AdvancedHunting- 的 category 值。 |
City |
principal.location.city |
properties.City 的值。 |
ClientIP |
principal.ip、principal.asset.ip |
如果 properties.RawEventData.ClientIP 是有效的 IP 位址,則為該位址的值。 |
ClientIPAddress |
principal.ip、principal.asset.ip |
如果 properties.RawEventData.ClientIPAddress 是有效的 IP 位址,則為該位址的值。 |
ClientInfoString |
read_only_udm.additional.fields |
鍵:ClientInfoString,值:properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
鍵:ClientProcessName,值:properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
鍵:ClientRequestId,值:properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
鍵:ClientVersion,值:properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
ConnectedNetworks 內的 Name 欄位 (如有)。 |
CountryCode |
principal.location.country_or_region |
properties.CountryCode 的值。 |
CreationTime |
read_only_udm.additional.fields |
鍵:CreationTime,值:properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
EventID 為 2000 時,這是「security_result.description」的一部分。 |
Current Signature Version |
security_result.description |
EventID 為 2000 時,這是「security_result.description」的一部分。 |
DeliveryAction |
read_only_udm.additional.fields |
鍵:DeliveryAction,值:properties.DeliveryAction |
DeliveryAction |
security_result.action |
如果 properties.DeliveryAction 包含 Blocked,值為 BLOCK。 |
DeliveryLocation |
read_only_udm.additional.fields |
鍵:DeliveryLocation,值:properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
鍵:DestinationLocationType,值:properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name、security_result.detection_fields |
移除引號後,properties.DetectionMethods 的值會變成 rule_name 和 detection_fields (鍵:Detection Method)。 |
Detection User |
principal.user.userid |
EventID 為 1116 或 1117 時使用。 |
DeviceCategory |
entity.asset.category |
properties.DeviceCategory 的值。 |
DeviceId |
principal.asset_id |
剖析系統記錄/JSON 或 XML 時,請使用 WINDOWS_DEFENDER: + DeviceId。剖析 JSON 時發生 DeviceId: + properties.DeviceId。 |
DeviceName |
principal.hostname、principal.asset.hostname |
剖析系統記錄/JSON 或 XML 時,DeviceName剖析 JSON 時發生 properties.DeviceName。properties.RawEventData.DeviceName (如有)。 |
DeviceType |
read_only_udm.additional.fields |
鍵:DeviceType,值:properties.DeviceType |
Domain |
principal.administrative_domain |
剖析系統記錄/JSON 或 XML 時使用。 |
Dynamic Signature Compilation Timestamp |
security_result.description |
如果 EventID 為 2010 年或 2011 年,則為 security_result.description 的一部分。 |
Dynamic Signature Type |
security_result.description |
如果 EventID 為 2010 年或 2011 年,則為 security_result.description 的一部分。 |
Dynamic Signature Version |
security_result.description |
如果 EventID 為 2010 年或 2011 年,則為 security_result.description 的一部分。 |
EmailClusterId |
read_only_udm.additional.fields |
鍵:EmailClusterId,值:properties.EmailClusterId |
EmailDirection |
network.direction |
如果值為「Inbound」,則設為「INBOUND」。如果是 Outbound,則設為 OUTBOUND。否則會設為 UNKNOWN_DIRECTION。 |
EmailLanguage |
read_only_udm.additional.fields |
鍵:EmailLanguage,值:properties.EmailLanguage |
Engine Version |
security_result.description |
當 EventID 為 1011 時,即為「security_result.description」的一部分。 |
EnforcementMode |
read_only_udm.additional.fields |
鍵:EnforcementMode,值:properties.EnforcementMode |
Error Code |
security_result.description |
當 EventID 為 1117 或 2001 時,為 security_result.description 的一部分。 |
Error Description |
security_result.description |
當 EventID 為 1117 或 2001 時,為 security_result.description 的一部分。 |
EventID |
metadata.product_event_type |
剖析系統記錄/JSON 或 XML 時的 metadata.product_event_type 一部分。 |
EventTime |
metadata.event_timestamp |
經過剖析後生成 metadata.event_timestamp。 |
ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations 的值。 |
ExternalAccess |
read_only_udm.additional.fields |
鍵:ExternalAccess,值:properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
當 ActionType 為 LogonFailed 時,properties.FailureReason 的值。 |
FileExtension |
read_only_udm.additional.fields |
鍵:FileExtension,值:properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
當 category 包含 EmailAttachmentInfo 時,properties.FileName 的值。否則為 target.process.file.full_path。 |
FileSize |
target.process.file.size |
轉換為無正負號整數的 properties.FileSize 值。 |
FileSize |
about.file.size |
category 包含 EmailAttachmentInfo 時,properties.FileSize 的值會轉換為無正負號整數。 |
FileSize |
principal.process.file.size |
轉換為無正負號整數的 properties.RawEventData.FileSize 值。 |
FileType |
about.file.mime_type |
當 category 包含 EmailAttachmentInfo 時,properties.FileType 的值。否則為 target.process.file.mime_type。 |
FileType |
read_only_udm.additional.fields |
鍵:FileType,值:properties.RawEventData.FileType (如不為空白) 或 Unknown。 |
FolderPath |
target.file.full_path |
properties.FolderPath 的值。 |
FolderPath |
target.process.file.full_path |
當 ActionType 為 CreateRemoteThreadApiCall、ExploitGuardNonMicrosoftSignedBlocked、DriverLoad、FileRenamed、OpenProcessApiCall、ReadProcessMemoryApiCall、ImageLoaded 或 properties.ActionType 時,FolderPath 的值為 FileCreatedOnNetworkShare。 |
Hidden |
read_only_udm.additional.fields |
鍵:Hidden,值:properties.RawEventData.Hidden |
Hostname |
principal.hostname、principal.asset.hostname |
剖析系統記錄/JSON 或 XML 時使用。 |
IPAddresses |
entity.asset.ip |
IPAddresses 陣列中每個物件的 IPAddress 欄位,不包括 IPv6 連結本機、IPv4 APIPA、IPv6 迴路、IPv6 多點傳播和迴路位址。 |
IPAddress |
principal.ip、principal.asset.ip |
如果 properties.IPAddress 是有效的 IP 位址,則為該位址的值。 |
IPCategory |
read_only_udm.additional.fields |
鍵:IPCategory,值:properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
鍵:IPTags,值:properties.IPTags |
ISP |
read_only_udm.additional.fields |
鍵:ISP,值:properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
如果存在且 properties.AccountName 為空白,或兩者皆存在,則會填入。 |
InitiatingProcessAccountSid |
principal.user.windows_sid |
如果存在且 properties.AccountSid 為空白,或兩者皆存在,則會填入。 |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
properties.InitiatingProcessAccountUpn 的值。 |
InitiatingProcessCommandLine |
principal.process.command_line |
移除引號後的 properties.InitiatingProcessCommandLine 值。 |
InitiatingProcessFileName |
principal.process.file.full_path |
properties.InitiatingProcessFileName 的值。 |
InitiatingProcessFileSize |
principal.process.file.size |
轉換為無正負號整數的 properties.InitiatingProcessFileSize 值。 |
InitiatingProcessFolderPath |
principal.process.file.full_path |
properties.InitiatingProcessFolderPath 的值。 |
InitiatingProcessId |
principal.process.pid |
properties.InitiatingProcessId 的值會轉換為字串。 |
InitiatingProcessIntegrityLevel |
about.labels、principal.resource.attribute.labels |
鍵:InitiatingProcessIntegrityLevel,值:properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
properties.InitiatingProcessMD5 的值。 |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
properties.InitiatingProcessParentFileName 的值。 |
InitiatingProcessParentId |
principal.process.parent_process.pid |
properties.InitiatingProcessParentId 的值會轉換為字串。 |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
properties.InitiatingProcessSHA1 的值。 |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
properties.InitiatingProcessSHA256 的值。 |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
鍵:InitiatingProcessSignatureStatus,值:properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
鍵:InitiatingProcessSignerType,值:properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels、principal.resource.attribute.labels |
鍵:InitiatingProcessTokenElevation,值:properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
properties.InitiatingProcessVersionInfoCompanyName 的值。 |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
鍵:File Description,值:properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
鍵:File Name,值:properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
鍵:Original File Name,值:properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
鍵:InitiatingProcessVersionInfoProductName,值:properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
properties.InitiatingProcessVersionInfoProductVersion 的值。 |
InternetMessageId |
read_only_udm.additional.fields |
鍵:InternetMessageId,值:properties.InternetMessageId (已移除角括號)。 |
IsAdminOperation |
read_only_udm.additional.fields |
鍵:IsAdminOperation,值:properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
鍵:IsAnonymousProxy,值:properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
鍵:IsExternalUser,值:properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
鍵:IsImpersonated,值:properties.IsImpersonated |
IsLocalAdmin |
about.labels、principal.resource.attribute.labels |
鍵:IsLocalAdmin,值:true 或 false,視 properties.IsLocalAdmin 的布林值而定。 |
LoggedOnUsers |
target.user.userid、entity.relations.entity.user.userid |
LoggedOnUsers 陣列中每個物件的 UserName 欄位都會新增為 target.user.userid 和相關聯的使用者實體。Sid 欄位會新增為 entity.relations.entity.user.windows_sid。 |
LocalIP |
principal.ip、principal.asset.ip |
剖析 JSON 時的 LocalIP 值。 |
LocalPort |
principal.port |
剖析 JSON 時,LocalPort 的值會轉換為整數。 |
LogonType |
extensions.auth.mechanism |
根據值對應至 UDM 驗證機制。 |
LogonType |
read_only_udm.additional.fields |
鍵:LogonType,值:properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
鍵:LogonUserSid,值:properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
MacAddress 或 properties.MacAddress 的值,格式為以半形冒號分隔的字串。 |
MailboxGuid |
read_only_udm.additional.fields |
鍵:MailboxGuid,值:properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
鍵:MailboxOwnerMasterAccountSid,值:properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
鍵:MailboxOwnerSid,值:properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
鍵:MailboxOwnerUPN,值:properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
properties.MD5 的值。 |
Message |
security_result.description |
如果 EventID 為 1000、1001、1002、1013、1116、1117、2000、2001、2002、2010、2011 或 5007,則為 security_result.description 的一部分。 |
NetworkAdapterType |
metadata.product_event_type |
剖析 JSON 時的 NetworkAdapterType 值。 |
NetworkMessageId |
network.email.mail_id |
properties.NetworkMessageId 的值。 |
New Value |
security_result.description |
當 EventID 為 5007 時,security_result.description 的一部分。 |
Object Name |
read_only_udm.additional.fields |
鍵:ObjectName,值:properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
鍵:ObjectType,值:properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
鍵:ObjectId,值:properties.ObjectId 或 properties.RawEventData.ObjectId。 |
Old Value |
security_result.description |
當 EventID 為 5007 時,security_result.description 的一部分。 |
Operation |
read_only_udm.additional.fields |
鍵:Operation,值:properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
鍵:OperationName,值:operationName |
OrganizationId |
read_only_udm.additional.fields |
鍵:OrganizationId,值:properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
鍵:OrganizationName,值:properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
鍵:OriginatingServer,值:properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
如果值包含 macos,則將 platform 設為 MAC。如果是 windows,則設為 WINDOWS。如果是 nix,則設為 LINUX。 |
OSVersion |
asset.platform_software.platform_version |
properties.OSVersion 的值。 |
Path |
target.file.full_path |
適用於 EventID 為 1011 或 1116 的情況。 |
Persistence Limit Type |
security_result.description |
如果 EventID 為 2010 年或 2011 年,則為 security_result.description 的一部分。 |
Persistence Limit Value |
security_result.description |
如果 EventID 為 2010 年或 2011 年,則為 security_result.description 的一部分。 |
Persistence Path |
target.file.full_path |
適用於 2010 年或 2011 年的 EventID。 |
Previous Engine Version |
security_result.description |
如果 EventID 為 2000、2001 或 2002,則為「security_result.description」的一部分。 |
PreviousRegistryKey |
target.registry.registry_key |
properties.PreviousRegistryKey 的值。 |
PreviousRegistryValueData |
target.resource.attribute.labels |
鍵:PreviousRegistryValueData,值:properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
鍵:PreviousRegistryValueName,值:properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
EventID 為 2001 年時,屬於「security_result.description」的一部分。 |
Previous Signature Version |
security_result.description |
EventID 為 2000 時,這是「security_result.description」的一部分。 |
ProcessCommandLine |
target.process.command_line |
properties.ProcessCommandLine 的值。 |
ProcessID |
principal.process.pid |
剖析系統記錄/JSON 或 XML 時使用。 |
ProcessId |
target.process.pid |
properties.ProcessId 的值會轉換為字串。 |
Process Name |
target.process.pid |
EventID 為 1116 或 1117 時使用。 |
Product Version |
metadata.product_version |
剖析系統記錄/JSON 或 XML 時使用。 |
Protocol |
network.ip_protocol |
如果值包含 Tcp,則設為 TCP。如果是 Udp,則設為 UDP。如果是 Icmp,則設為 ICMP。 |
ProviderGuid |
principal.resource.id |
剖析系統記錄/JSON 或 XML 時使用。 |
PublicIP |
principal.ip、principal.asset.ip |
properties.PublicIP 的值。 |
RawEventData.Application |
principal.application |
properties.RawEventData.Application 的值。 |
RawEventData.ClientIP |
principal.ip、principal.asset.ip |
如果 properties.RawEventData.ClientIP 是有效的 IP 位址,則為該位址的值。 |
RawEventData.ClientIPAddress |
principal.ip、principal.asset.ip |
如果 properties.RawEventData.ClientIPAddress 是有效的 IP 位址,則為該位址的值。 |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
鍵:ClientInfoString,值:properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
鍵:ClientProcessName,值:properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
鍵:ClientRequestId,值:properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
鍵:ClientVersion,值:properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
鍵:CreationTime,值:properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname、principal.asset.hostname |
properties.RawEventData.DeviceName 的值。 |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
鍵:DestinationLocationType,值:properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations 的值。 |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
鍵:ExternalAccess,值:properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
鍵:FileExtension,值:properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
轉換為無正負號整數的 properties.RawEventData.FileSize 值。 |
RawEventData.FileType |
read_only_udm.additional.fields |
鍵:FileType,值:properties.RawEventData.FileType (如不為空白) 或 Unknown。 |
RawEventData.Hidden |
read_only_udm.additional.fields |
鍵:Hidden,值:properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
鍵:RawEventDataId,值:properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
鍵:RawEventDataItemId,值:properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
鍵:LogonType,值:properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
鍵:LogonUserSid,值:properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
鍵:MailboxGuid,值:properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
鍵:MailboxOwnerMasterAccountSid,值:properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
鍵:MailboxOwnerSid,值:properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
鍵:MailboxOwnerUPN,值:properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
鍵:MDATPDeviceId,值:properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
鍵:ObjectId,值:properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
鍵:Operation,值:properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
鍵:OrganizationId,值:properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
鍵:OrganizationName,值:properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
鍵:OriginatingServer,值:properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
鍵:RawEventDataParentFolderId,值:properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
properties.RawEventData.Pid 的值會轉換為字串。 |
RawEventData.Query |
read_only_udm.additional.fields |
鍵:Query,值:properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
轉換為無正負號整數的 properties.RawEventData.RecordType 值。 |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
鍵:ResultStatus,值:properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
鍵:Scope,值:properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
properties.RawEventData.SessionId 的值。 |
RawEventData.Sha1 |
target.process.file.sha1 |
properties.RawEventData.Sha1 的值。 |
RawEventData.Sha256 |
target.process.file.sha256 |
properties.RawEventData.Sha256 的值。 |
RawEventData.TargetDomain |
target.hostname、target.asset.hostname |
properties.RawEventData.TargetDomain 的值。 |
RawEventData.TargetFilePath |
target.file.full_path |
properties.RawEventData.TargetFilePath 的值。 |
RawEventData.UserId |
principal.user.email_addresses |
properties.RawEventData.UserId 的值 (如果為電子郵件地址)。 |
RawEventData.UserKey |
read_only_udm.additional.fields |
鍵:UserKey,值:properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
鍵:UserType,值:properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
鍵:Version,值:properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
鍵:Workload,值:properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to、target.user.email_addresses |
properties.RecipientEmailAddress 的值。 |
RecipientObjectId |
target.user.product_object_id |
properties.RecipientObjectId 的值。 |
RegistryKey |
target.registry.registry_key |
properties.RegistryKey 的值。 |
RegistryValueData |
target.registry.registry_value_data |
properties.RegistryValueData 的值。 |
RegistryValueName |
target.registry.registry_value_name |
properties.RegistryValueName 的值。 |
Remediation User |
intermediary.user.userid |
EventID 為 1117 時使用。 |
RemoteDeviceName |
target.hostname、target.asset.hostname |
properties.RemoteDeviceName 的值。 |
RemoteIP |
target.ip、target.asset.ip |
如果不是空白、- 或 null,則為 properties.RemoteIP 的值。 |
RemoteIPType |
about.labels、principal.resource.attribute.labels |
鍵:RemoteIPType,值:properties.RemoteIPType |
RemotePort |
target.port |
properties.RemotePort 的值會轉換為整數。 |
RemoteUrl |
target.url |
properties.RemoteUrl 的值。如果包含主機名稱,系統會擷取主機名稱並對應至 target.hostname 和 target.asset.hostname。 |
Removal Reason Value |
security_result.description |
「security_result.description」的一部分,適用於 2011 年。EventID |
ReportId |
metadata.product_log_id |
properties.ReportId 的值會轉換為字串。 |
Scan ID |
security_result.description |
當 EventID 為 1000、1001 或 1002 時,為 security_result.description 的一部分。 |
Scan Parameters |
security_result.description |
當 EventID 為 1000、1001 或 1002 時,為 security_result.description 的一部分。 |
Scan Resources |
target.file.full_path |
當 EventID 為 1000 時使用。 |
Scan Time Hours |
security_result.description |
當 EventID 為 1001 時,即為「security_result.description」的一部分。 |
Scan Time Minutes |
security_result.description |
當 EventID 為 1001 時,即為「security_result.description」的一部分。 |
Scan Time Seconds |
security_result.description |
當 EventID 為 1001 時,即為「security_result.description」的一部分。 |
Scan Type |
security_result.description |
當 EventID 為 1000、1001 或 1002 時,為 security_result.description 的一部分。 |
Security intelligence Type |
security_result.description |
EventID 為 2001 年時,屬於「security_result.description」的一部分。 |
Security intelligence Version |
security_result.description |
當 EventID 為 1011 時,即為「security_result.description」的一部分。 |
SenderDisplayName |
principal.user.user_display_name |
properties.SenderDisplayName 的值。 |
SenderFromAddress |
network.email.from、principal.user.email_addresses |
properties.SenderFromAddress 的值。 |
SenderFromDomain |
principal.administrative_domain |
properties.SenderFromDomain 的值。 |
SenderIPv4 |
principal.ip、principal.asset.ip |
properties.SenderIPv4 的值。 |
SenderIPv6 |
principal.ip、principal.asset.ip |
properties.SenderIPv6 的值。 |
SenderMailFromAddress |
principal.user.attribute.labels |
鍵:SenderMailFromAddress,值:properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
鍵:SenderMailFromDomain,值:properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
properties.SenderObjectId 的值。 |
Severity Name |
security_result.severity |
如果值為「Low」,則設為「LOW」。如果是 Moderate,則設為 MEDIUM。如果 High 或 Severe,則設為 HIGH。 |
Severity |
security_result.severity |
如果值包含 informational,則設為 INFORMATIONAL。如果是 low,則設為 LOW。如果是 medium,則設為 MEDIUM。如果是 high,則設為 HIGH。否則會設為 UNKNOWN_SEVERITY。 |
Severity |
security_result.severity_details |
properties.Severity 的值。 |
SHA1 |
target.process.file.sha1 |
properties.SHA1 的值。 |
SHA256 |
target.process.file.sha256 |
properties.SHA256 的值。 |
SHA256 |
about.file.sha256 |
當 category 包含 EmailAttachmentInfo 時,properties.SHA256 的值。 |
Signature Type |
security_result.description |
如果 EventID 為 2000 或 2010,則為「security_result.description」的一部分。 |
SourceModuleName |
target.resource.name |
當 EventID 為 2008 時使用。 |
Source Path |
security_result.description |
EventID 為 2001 年時,屬於「security_result.description」的一部分。 |
Subject |
network.email.subject |
properties.Subject 的值。 |
Tenant |
read_only_udm.additional.fields |
鍵:Tenant,值:Tenant |
tenantId |
observer.cloud.project.id、target.resource_ancestors.product_object_id |
tenantId 或 properties.tenantId 的值。 |
Threat ID |
security_result.threat_name |
如果 EventID 為 1011 或 1116,則為「security_result.threat_name」的一部分。 |
ThreatNames |
security_result.threat_name |
properties.ThreatNames 的值。 |
Threat Types |
security_result.category |
如果值為「Phish」,則將 security_result_category 設為「MAIL_PHISHING」。否則會設為 UNKNOWN_CATEGORY。 |
Timestamp |
security_result.description |
EventID 為 1013 時的「security_result.description」一部分。 |
Timestamp |
metadata.event_timestamp |
經過剖析後生成 metadata.event_timestamp。 |
Timestamp |
entity.asset.system_last_update_time |
當 category 為 AdvancedHunting-DeviceNetworkInfo 時,properties.Timestamp 的值。 |
Title |
security_result.threat_name |
properties.Title 的值。 |
Update Source |
security_result.description |
EventID 為 2001 年時,屬於「security_result.description」的一部分。 |
Update State |
security_result.description |
EventID 為 2001 年時,屬於「security_result.description」的一部分。 |
Update Type |
security_result.description |
2000 年或 2001 年的 EventID security_result.description。 |
UserAgent |
network.http.user_agent |
properties.UserAgent 的值。 |
UserAgentTags |
additional.fields |
properties.UserAgentTags 陣列中的每個元素都會新增為標籤,並以 UserAgentTags 做為鍵。 |
Url |
target.url |
properties.Url 的值。 |
UrlCount |
read_only_udm.additional.fields |
鍵:UrlCount,值:properties.UrlCount |
UrlDomain |
target.hostname、target.asset.hostname |
properties.UrlDomain 的值。 |
UrlLocation |
read_only_udm.additional.fields |
鍵:UrlLocation,值:properties.UrlLocation |
User |
target.user.userid |
當 EventID 為 1000、1001、1002、1011、1013、2000 或 2002 時,或當 Message 包含 \tUser: 時,會使用這項屬性。 |
UserID |
principal.user.userid |
適用於 2010 年或 2011 年的 EventID。 |
| (剖析器邏輯) | metadata.event_type |
一開始會設為 GENERIC_EVENT,然後根據其他欄位和邏輯覆寫。常見值包括 NETWORK_CONNECTION、PROCESS_LAUNCH、FILE_CREATION、FILE_MODIFICATION、USER_LOGIN、SCAN_HOST、SCAN_PROCESS、SYSTEM_AUDIT_LOG_WIPE、SETTING_MODIFICATION、FILE_DELETION、PROCESS_MODULE_LOAD、PROCESS_UNCATEGORIZED、STATUS_UPDATE、PROCESS_OPEN、NETWORK_DNS、FILE_MOVE、REGISTRY_CREATION、REGISTRY_DELETION、REGISTRY_MODIFICATION、SCHEDULED_TASK_CREATION、SCHEDULED_TASK_DELETION、SCHEDULED_TASK_MODIFICATION、SCAN_NETWORK、USER_UNCATEGORIZED。 |
| (剖析器邏輯) | metadata.vendor_name |
設為 Microsoft。 |
| (剖析器邏輯) | metadata.product_name |
一開始會設為 Windows Defender ATP,但可能會由 category 欄位覆寫。 |
| (剖析器邏輯) | metadata.product_event_type |
一開始會設為 GENERIC_EVENT,然後根據其他欄位和邏輯覆寫。 |
| (剖析器邏輯) | metadata.product_version |
根據 Product Version 或 properties.InitiatingProcessVersionInfoProductVersion 進行設定。 |
| (剖析器邏輯) | metadata.log_type |
設為 WINDOWS_DEFENDER_ATP。 |
| (剖析器邏輯) | principal.resource.type |
剖析系統記錄/JSON 或 XML 時,請設為 PROVIDER。 |
| (剖析器邏輯) | target.resource_ancestors |
包含單一祖先,且 product_object_id 設為 tenantId。 |
| (剖析器邏輯) | security_result.summary |
根據 EventID、properties.ActionType 或 properties.Title 和 properties.Category 進行設定。 |
| (剖析器邏輯) | security_result.description |
視 EventID 或 properties.ActionType 而定,由各種欄位建構而成。 |
| (剖析器邏輯) | security_result.action |
初始設定為 ALLOW,然後可能會根據 AdditionalFields.WasRemediated、ActionType 或 Action Name 覆寫。 |
| (剖析器邏輯) | security_result.severity |
根據 Severity Name 或 properties.Severity 進行設定。 |
| (剖析器邏輯) | security_result.category |
設定依據:Threat Types。 |
| (剖析器邏輯) | network.direction |
根據 RemoteIP、LocalIP 或 EmailDirection 進行設定。 |
| (剖析器邏輯) | network.ip_protocol |
當 metadata.event_type 為 NETWORK_CONNECTION 時,請設為 TCP。 |
| (剖析器邏輯) | network.session_id |
設定依據:properties.RawEventData.SessionId。 |
| (剖析器邏輯) | network.http.user_agent |
設定依據:properties.UserAgent。 |
| (剖析器邏輯) | network.email.mail_id |
設定依據:properties.NetworkMessageId。 |
| (剖析器邏輯) | network.email.subject |
設定依據:properties.Subject。 |
| (剖析器邏輯) | network.email.from |
設定依據:properties.SenderFromAddress。 |
| (剖析器邏輯) | network.email.to |
設定依據:properties.RecipientEmailAddress。 |
| (剖析器邏輯) | network.dns.questions.name |
設定依據:AdditionalFields.DnsQueryString。 |
| (剖析器邏輯) | network.dns.questions.type |
設定依據:properties.RawEventData.RecordType。 |
| (剖析器邏輯) | network.dns.answers |
以 AdditionalFields.DnsQueryResult 為基礎建構。 |
| (剖析器邏輯) | extensions.auth.type |
如果 ActionType 為 LogonAttempted 或 LogonSuccess,請設為 MACHINE。 |
| (剖析器邏輯) | extensions.auth.mechanism |
根據 LogonType 或 AdditionalFields.IsLocalLogon 進行設定。 |
| (剖析器邏輯) | extensions.auth.auth_details |
設定依據:properties.AuthenticationDetails。 |
| (剖析器邏輯) | entity.asset.asset_id |
使用 WINDOWS: + DeviceId 或 properties.DeviceId 建構。 |
| (剖析器邏輯) | entity.asset.product_object_id |
設為 DeviceId 或 properties.DeviceId。 |
| (剖析器邏輯) | entity.asset.network_domain |
從「ConnectedNetworks」擷取。 |
| (剖析器邏輯) | entity.asset.ip |
根據 IPAddresses、_ipaddress、PublicIP 或 LocalIP 設定。 |
| (剖析器邏輯) | entity.asset.mac |
根據 MacAddress 或 properties.MacAddress 進行設定。 |
| (剖析器邏輯) | entity.asset.hostname |
根據 DeviceName 或 properties.DeviceName 進行設定。 |
| (剖析器邏輯) | entity.asset.platform_software.platform |
設定依據:OSPlatform。 |
| (剖析器邏輯) | entity.asset.platform_software.platform_version |
設定依據:OSVersion。 |
| (剖析器邏輯) | entity.asset.category |
設定依據:DeviceCategory。 |
| (剖析器邏輯) | entity.asset.type |
設為 WORKSTATION,即可接收裝置和網路資訊事件。 |
| (剖析器邏輯) | entity.asset.system_last_update_time |
根據 properties.Timestamp 設定網路資訊事件。 |
| (剖析器邏輯) | entity.relations |
以 LoggedOnUsers 為基礎建構。 |
| (剖析器邏輯) | entity.metadata.entity_type |
針對裝置、網路和資產事件設為 ASSET。 |
| (剖析器邏輯) | about.labels |
包含各種欄位的標籤,這些欄位無法直接納入 UDM 架構。 |
| (剖析器邏輯) | principal.user.attribute.labels |
包含各種使用者相關欄位的標籤。 |
| (剖析器邏輯) | principal.resource.attribute.labels |
包含各種資源相關欄位的標籤。 |
| (剖析器邏輯) | target.resource.resource_type |
排定工作事件請設為 TASK,設定修改事件請設為 SETTING。 |
| (剖析器邏輯) | target.resource.name |
根據 SourceModuleName、AdditionalFields.TaskName 或 _taskname 進行設定。 |
| (剖析器邏輯) | target.resource.product_object_id |
設定依據:properties.ReportId。 |
| (剖析器邏輯) | target.resource_ancestors |
設定依據:tenantId。 |
| (剖析器邏輯) | target.registry.registry_key |
根據 RegistryKey、PreviousRegistryKey 或 properties.RegistryKey 進行設定。 |
| (剖析器邏輯) | target.registry.registry_value_name |
根據 RegistryValueName 或 properties.RegistryValueName 進行設定。 |
| (剖析器邏輯) | target.registry.registry_value_data |
根據 RegistryValueData 或 properties.RegistryValueData 進行設定。 |
| (剖析器邏輯) | intermediary.user.userid |
設定依據:Remediation User。 |
| (剖析器邏輯) | metadata.collected_timestamp |
針對資產和網路資訊事件,設為事件時間戳記。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。