Microsoft Sentinel-Protokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Felder aus Microsoft Sentinel-JSON-Protokollen, führt Transformationen wie die IP-Adressextraktion und Stringmanipulation durch und ordnet die extrahierten Daten dem UDM zu, einschließlich der Felder „principal“, „target“, „security_result“ und „metadata“. Außerdem werden verschiedene Datentypen verarbeitet und extrahierte Entitäten in die UDM-Struktur zusammengeführt.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Zugriff auf Microsoft Sentinel

Feed in Google SecOps für die Aufnahme der Microsoft Sentinel-Protokolle konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Microsoft Sentinel-Protokolle.
  4. Wählen Sie als Quelltyp Webhook aus.
  5. Wählen Sie Microsoft Sentinel als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
    • Asset-Namespace: Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Neugenerierung des geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.

  2. Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Ersetzen Sie Folgendes:

  • ENDPOINT_URL: die URL des Feedendpunkts.
  • API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google Security Operations authentifizieren.
  • SECRET: den geheimen Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Logic App für Microsoft Sentinel-Vorfälle konfigurieren

So konfigurieren Sie die Logic App für Microsoft Sentinel-Vorfälle:

  1. Melden Sie sich im Azure-Portal an.
  2. Klicken Sie auf Ressource erstellen.
  3. Suchen Sie nach „Logic App“.
  4. Klicken Sie auf Erstellen, um mit der Erstellung zu beginnen.
  5. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Name: Geben Sie einen Namen für die Logik-App ein.
    • Region: Wählen Sie die Region aus.
    • Log Analytics-Arbeitsbereich: Wählen Sie den Log Analytics-Arbeitsbereich aus.
  6. Klicken Sie auf Überprüfen + Erstellen.
  7. Klicken Sie auf Erstellen.
  8. Klicken Sie nach dem Erstellen der Logik-App auf Ressource aufrufen.
  9. Klicken Sie auf Entwicklertools > Logic App Designer.
  10. Klicken Sie auf Trigger hinzufügen.
  11. Suchen Sie nach Microsoft Sentinel.
  12. Wählen Sie als Trigger Microsoft Sentinel-Vorfall aus.
  13. Wenn Sie noch keine Verbindung zu Microsoft Sentinel erstellt haben, müssen Sie dies jetzt tun. Klicken Sie auf Neu erstellen und folgen Sie der Anleitung, um sich zu authentifizieren.
  14. Klicken Sie auf Neuen Schritt einfügen.
  15. Klicken Sie auf Aktion hinzufügen.
  16. Suchen Sie nach HTTP und wählen Sie die Aktion aus.
  17. Geben Sie Werte für die folgenden Eingabeparameter an:
    • URI: Die URL des Feed-Endpunkts.
    • Methode: POST
    • Header: Fügen Sie die folgenden Header hinzu:
      • Content-Type: application/json
      • X-goog-api-key: der API-Schlüssel für die Authentifizierung bei Google Security Operations.
      • X-Webhook-Access-Key: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Logic App für Microsoft Sentinel-Benachrichtigungen konfigurieren

So konfigurieren Sie eine Logic App für Microsoft Sentinel-Benachrichtigungen:

  1. Rufen Sie die Startseite des Azure-Portals auf.
  2. Klicken Sie auf Ressource erstellen.
  3. Suchen Sie nach „Logic App“.
  4. Klicken Sie auf Erstellen, um mit der Erstellung zu beginnen.
  5. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Name: Geben Sie einen Namen für die Logik-App ein.
    • Region: Wählen Sie die Region aus.
    • Log Analytics-Arbeitsbereich: Wählen Sie den Log Analytics-Arbeitsbereich aus.
  6. Klicken Sie auf Überprüfen + Erstellen.
  7. Klicken Sie auf Erstellen.
  8. Klicken Sie nach dem Erstellen der Logik-App auf Ressource aufrufen.
  9. Klicken Sie auf Entwicklertools > Logic App Designer.
  10. Klicken Sie auf Trigger hinzufügen.
  11. Suchen Sie nach Microsoft Sentinel.
  12. Wählen Sie als Auslöser Microsoft Sentinel-Benachrichtigung aus.
  13. Wenn Sie noch keine Verbindung zu Microsoft Sentinel erstellt haben, müssen Sie dies jetzt tun. Klicken Sie auf Neu erstellen und folgen Sie der Anleitung, um sich zu authentifizieren.
  14. Klicken Sie auf Neuen Schritt einfügen.
  15. Klicken Sie auf Aktion hinzufügen.
  16. Suchen Sie nach HTTP und wählen Sie die Aktion aus.
  17. Geben Sie Werte für die folgenden Eingabeparameter an:
    • URI: Die URL des Feed-Endpunkts.
    • Methode: POST
    • Header: Fügen Sie die folgenden Header hinzu:
      • Content-Type: application/json
      • X-goog-api-key: der API-Schlüssel für die Authentifizierung bei Google Security Operations.
      • X-Webhook-Access-Key: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Automatisierungsregeln für Microsoft Sentinel konfigurieren

So konfigurieren Sie Automatisierungsregeln für Microsoft Sentinel:

  1. Rufen Sie Ihren Microsoft Sentinel-Arbeitsbereich auf.
  2. Klicken Sie auf Konfiguration > Automatisierung.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie Automatisierungsregel aus.
  5. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Name: Geben Sie einen Namen für die Automatisierungsregel ein.
    • Trigger: Wählen Sie Wenn ein Vorfall erstellt wird aus.
    • Aktionen: Wählen Sie Playbook ausführen > Logik-App für Vorfälle erstellt aus.
  6. Klicken Sie auf Übernehmen.
  7. Klicken Sie auf Erstellen.
  8. Wählen Sie Automatisierungsregel aus.
  9. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Name: Geben Sie einen Namen für die Automatisierungsregel ein.
    • Trigger: Wählen Sie Wenn Problem aktualisiert wird aus.
    • Bedingung: Klicken Sie auf Hinzufügen > Bedingung (Und) > Status > Geändert.
    • Aktionen: Wählen Sie Playbook ausführen > Logik-App für Vorfälle erstellt aus.
  10. Klicken Sie auf Übernehmen.
  11. Klicken Sie auf Erstellen.
  12. Wählen Sie Automatisierungsregel aus.
  13. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Name: Geben Sie einen Namen für die Automatisierungsregel ein.
    • Trigger: Wählen Sie Wenn Benachrichtigung erstellt wird aus.
    • Aktionen: Wählen Sie Playbook ausführen > Logik-App für Benachrichtigungen erstellt aus.
  14. Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AlertGenerationStatus security_result.detection_fields.AlertGenerationStatus Nach dem JSON-Parsen direkt aus dem Feld ExtendedProperties zugeordnet.
AlertLink principal.labels.AlertLink Direkt zugeordnet.
AlertName security_result.rule_name Direkt zugeordnet.
AlertSeverity security_result.severity Direkt zugeordnet, in Großbuchstaben konvertiert. Wenn der Wert einer der folgenden Werte ist: HIGH, MEDIUM, LOW, CRITICAL oder UNKNOWN_SEVERITY, wird er security_result.severity zugeordnet. Andernfalls wird es security_result.severity_details zugeordnet.
AlertType security_result.threat_name Direkt zugeordnet.
Category security_result.detection_fields.Category Nach dem JSON-Parsen direkt aus dem Feld ExtendedProperties zugeordnet.
CompromisedEntity principal.resource.attribute.labels.CompromisedEntity Direkt zugeordnet.
CompromisedEntityId security_result.detection_fields.CompromisedEntityId Nach dem JSON-Parsen direkt aus dem Feld ExtendedProperties zugeordnet.
ConfidenceLevel security_result.confidence_details Direkt zugeordnet.
ConfidenceScore security_result.detection_fields.ConfidenceScore Direkt zugeordnet.
cribl_pipe additional.fields.cribl_pipe Direkt zugeordnet.
Description security_result.description Direkt zugeordnet.
DestinationDevice security_result.detection_fields.DestinationDevice ODER target.ip Nach dem JSON-Parsen dem Feld ExtendedProperties zugeordnet. Wenn der Wert eine gültige IP-Adresse ist, wird er target.ip zugeordnet. Andernfalls wird es als Erkennungsfeld zugeordnet.
DestinationDeviceAddress target.ip Wird nach dem JSON-Parsen aus dem Feld ExtendedProperties zugeordnet, nur wenn es sich um eine gültige IP-Adresse handelt.
DeviceId security_result.detection_fields.DeviceId Nach dem JSON-Parsen direkt aus dem Feld ExtendedProperties zugeordnet.
DisplayName security_result.summary Direkt zugeordnet.
EndTime about.labels.EndTime Direkt zugeordnet.
Entities.Address principal.asset.ip Nach dem JSON-Parsen aus dem Entities-Array extrahiert. Es werden nur IP-Adressen zugeordnet.
Entities.HostName principal.asset.hostname ODER principal.asset.ip Nach dem JSON-Parsen aus dem Entities-Array extrahiert. Wenn der Wert eine gültige IP-Adresse ist, wird er principal.asset.ip zugeordnet. Andernfalls wird es principal.asset.hostname zugeordnet.
Entities.IoTDevice.DeviceId security_result.detection_fields.IoTDeviceID Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.DeviceType security_result.detection_fields.IoTDeviceType Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.DeviceTypeId security_result.detection_fields.IoTDeviceTypeId Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.Importance security_result.detection_fields.IoTDeviceImportance Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.IoTSecurityAgentId security_result.detection_fields.IoTSecurityAgentId Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.Manufacturer security_result.detection_fields.IoT Manufacturer Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.OperatingSystem principal.asset.platform_software.platform_version Nach dem JSON-Parsen aus dem Array Entities extrahiert, nachgestellte Leerzeichen entfernt.
Entities.IoTDevice.PurdueLayer security_result.detection_fields.IoT PurdueLayer Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
Entities.IoTDevice.Sensor security_result.detection_fields.IoT Sensor Nach dem JSON-Parsen aus dem Entities-Array extrahiert.
ExtendedProperties.Protocol security_result.detection_fields.Protocol Nach dem JSON-Parsen direkt aus dem Feld ExtendedProperties zugeordnet.
ExtendedProperties.SensorId security_result.detection_fields.SensorId Nach dem JSON-Parsen direkt aus dem Feld ExtendedProperties zugeordnet.
ExtendedProperties.SourceDevice principal.ip ODER security_result.detection_fields.SourceDevice Nach dem JSON-Parsen dem Feld ExtendedProperties zugeordnet. Wenn der Wert eine gültige IP-Adresse ist, wird er principal.ip zugeordnet. Andernfalls wird es als Erkennungsfeld zugeordnet.
ExtendedProperties.SourceDeviceAddress principal.ip Wird nach dem JSON-Parsen aus dem Feld ExtendedProperties zugeordnet, nur wenn es sich um eine gültige IP-Adresse handelt.
IsIncident security_result.detection_fields.IsIncident Direkt zugeordnet, in String umgewandelt.
ProcessingEndTime about.labels.ProcessingEndTime Direkt zugeordnet.
ProductComponentName principal.resource.attribute.labels.ProductComponentName Direkt zugeordnet.
ProductName principal.resource.attribute.labels.ProductName Direkt zugeordnet.
ProviderName principal.resource.attribute.labels.ProviderName Direkt zugeordnet.
ResourceId principal.resource.product_object_id, target.resource.name Direkt zugeordnet.
SourceComputerId principal.asset.asset_id Direkt zugeordnet, Präfix „SourceComputerId:“.
SourceSystem security_result.detection_fields.SourceSystem Direkt zugeordnet.
StartTime about.labels.StartTime Direkt zugeordnet.
Status security_result.detection_fields.Status Direkt zugeordnet.
SystemAlertId metadata.product_log_id Direkt zugeordnet.
Tactics security_result.attack_details.tactics.name Nach dem JSON-Parsen und Entfernen des Backslash aus dem Feld Tactics extrahiert.
Techniques security_result.attack_details.techniques.id Nach dem JSON-Parsen und Entfernen des Backslash aus dem Feld Techniques extrahiert.
TenantId additional.fields.TenantId Direkt zugeordnet.
TimeGenerated about.labels.TimeGenerated Direkt zugeordnet.
timestamp metadata.event_timestamp, events.timestamp Direkt zugeordnet.
VendorName metadata.vendor_name Direkt zugeordnet.
VendorOriginalId additional.fields.VendorOriginalId Direkt zugeordnet.
_time metadata.event_timestamp, events.timestamp Wird als Zeitstempel im UNIX- oder UNIX_MS-Format geparst.
(Parser Logic) metadata.event_type Legen Sie „USER_RESOURCE_ACCESS“ fest, wenn „principal“, „target“ und „ResourceId“ vorhanden sind. Andernfalls setzen Sie „GENERIC_EVENT“ fest.
(Parser Logic) metadata.log_type Legen Sie diesen Wert auf „MICROSOFT_SENTINEL“ fest.
(Parser Logic) metadata.product_name Legen Sie diesen Wert auf „MICROSOFT_SENTINEL“ fest.

Änderungen

2023-11-03

  • „ResourceId“ wurde „target.resource.name“ zugeordnet.
  • Wenn „ResourceId“ den Wert „nicht null“ hat und für das Ereignis einer der Werte „principal“ oder „target“ den Wert „nicht null“ hat, ordnen Sie „metadata.event_type“ dem Wert „USER_RESOURCE_ACCESS“ zu.

2023-08-31

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten