Coletar registros do Microsoft Sentinel
Visão geral
Esse analisador extrai campos dos registros JSON do Microsoft Sentinel, realiza transformações, como extração de endereços IP e manipulação de strings, e mapeia os dados extraídos para o UDM, incluindo os campos principal, target, security_result e metadata. Ele também processa vários tipos de dados e mescla as entidades extraídas na estrutura do UDM.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Acesso ao Microsoft Sentinel.
Configure um feed no Google SecOps para ingerir os registros do Microsoft Sentinel
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do Microsoft Sentinel).
- Selecione Webhook como o Tipo de origem.
- Selecione Microsoft Sentinel como o Tipo de registro.
- Clique em Próxima.
- Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
\n
. - Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
- Clique em Próxima.
- Revise a configuração do novo feed na tela Finalizar e clique em Enviar.
- Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
- Copie e armazene a chave secreta, porque não será possível acessá-la novamente. Você pode gerar uma nova chave secreta novamente, mas a regeneração da chave secreta torna a chave secreta anterior obsoleta.
- Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
- Clique em Concluído.
Criar uma chave de API para o feed de webhook
Acesse o console do Google Cloud > Credenciais.
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.
Especificar o URL do endpoint
- No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL. Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Substitua:
ENDPOINT_URL
: o URL do endpoint do feed.API_KEY
: a chave de API para autenticação no Google Security Operations.SECRET
: a chave secreta gerada para autenticar o feed.
Configurar o app de lógica para incidentes do Microsoft Sentinel
Para configurar a aplicativo de lógica para incidentes do Microsoft Sentinel, siga estas etapas:
- Faça login no Portal do Azure.
- Clique em Criar um recurso.
- Pesquise "Logic App".
- Clique em Criar para iniciar o processo.
- Especifique valores para os seguintes parâmetros de entrada:
- Assinatura: selecione a assinatura.
- Grupo de recursos: selecione o grupo de recursos.
- Nome: insira um nome para o app de lógica.
- Região: selecione a região.
- Espaço de trabalho do Log Analytics: selecione o espaço de trabalho do Log Analytics.
- Clique em Revisar + criar.
- Clique em Criar.
- Depois que a app de lógica for criado, clique em Acessar recurso.
- Clique em Ferramentas de desenvolvimento > Designer de apps lógicos.
- Clique em Adicionar um acionador.
- Pesquise Microsoft Sentinel.
- Selecione Incidentes do Microsoft Sentinel como o acionador.
- Se você ainda não criou uma conexão com o Microsoft Sentinel, faça isso agora. Clique em Criar novo e siga as instruções para autenticação.
- Clique em Inserir uma nova etapa.
- Clique em Adicionar uma ação.
- Pesquise e selecione HTTP como a ação.
- Especifique valores para os seguintes parâmetros de entrada:
- URI: o URL do endpoint do feed.
- Método: POST
- Cabeçalhos: adicione os seguintes cabeçalhos:
- Content-Type: application/json
- X-goog-api-key: a chave de API para autenticação no Google Security Operations.
- X-Webhook-Access-Key: a chave secreta gerada para autenticar o feed.
Configurar o app de lógica para alertas do Microsoft Sentinel
Para configurar a aplicativo de lógica para alertas do Microsoft Sentinel, siga estas etapas:
- Acesse a página inicial do portal do Azure.
- Clique em Criar um recurso.
- Pesquise "Logic App".
- Clique em Criar para iniciar o processo.
- Especifique valores para os seguintes parâmetros de entrada:
- Assinatura: selecione a assinatura.
- Grupo de recursos: selecione o grupo de recursos.
- Nome: insira um nome para o app de lógica.
- Região: selecione a região.
- Espaço de trabalho do Log Analytics: selecione o espaço de trabalho do Log Analytics.
- Clique em Revisar + criar.
- Clique em Criar.
- Depois que a app de lógica for criado, clique em Acessar recurso.
- Clique em Ferramentas de desenvolvimento > Designer de apps lógicos.
- Clique em Adicionar um acionador.
- Pesquise Microsoft Sentinel.
- Selecione Alerta do Microsoft Sentinel como acionador.
- Se você ainda não criou uma conexão com o Microsoft Sentinel, faça isso agora. Clique em Criar novo e siga as instruções para autenticação.
- Clique em Inserir uma nova etapa.
- Clique em Adicionar uma ação.
- Pesquise e selecione HTTP como a ação.
- Especifique valores para os seguintes parâmetros de entrada:
- URI: o URL do endpoint do feed.
- Método: POST
- Cabeçalhos: adicione os seguintes cabeçalhos:
- Content-Type: application/json
- X-goog-api-key: a chave de API para autenticação no Google Security Operations.
- X-Webhook-Access-Key: a chave secreta gerada para autenticar o feed.
Configurar regras de automação para o Microsoft Sentinel
Para configurar as regras de automação do Microsoft Sentinel, siga estas etapas:
- Acesse o Microsoft Sentinel Workspace.
- Clique em Configuração > Automação.
- Clique em Criar.
- Selecione Regra de automação.
- Especifique valores para os seguintes parâmetros de entrada:
- Nome: digite um nome para a regra de automação.
- Acionador: selecione Quando o incidente é criado.
- Ações: selecione Executar playbook > App lógico criado para incidentes.
- Clique em Aplicar.
- Clique em Criar.
- Selecione Regra de automação.
- Especifique valores para os seguintes parâmetros de entrada:
- Nome: digite um nome para a regra de automação.
- Acionador: selecione Quando o incidente é atualizado.
- Condição: clique em Adicionar > Condição (E) > Status > Alterado.
- Ações: selecione Executar playbook > App lógico criado para incidentes.
- Clique em Aplicar.
- Clique em Criar.
- Selecione Regra de automação.
- Especifique valores para os seguintes parâmetros de entrada:
- Nome: digite um nome para a regra de automação.
- Acionador: selecione Quando o alerta é criado.
- Ações: selecione Executar playbook > App lógico criado para alertas.
- Clique em Aplicar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
AlertGenerationStatus |
security_result.detection_fields.AlertGenerationStatus |
Mapeado diretamente do campo ExtendedProperties após a análise JSON. |
AlertLink |
principal.labels.AlertLink |
Mapeado diretamente. |
AlertName |
security_result.rule_name |
Mapeado diretamente. |
AlertSeverity |
security_result.severity |
Mapeado diretamente, convertido em letras maiúsculas. Se o valor for ALTO, MÉDIO, BAIXO, CRÍTICO ou UNKNOWN_SEVERITY, ele será mapeado para security_result.severity . Caso contrário, ele será mapeado para security_result.severity_details . |
AlertType |
security_result.threat_name |
Mapeado diretamente. |
Category |
security_result.detection_fields.Category |
Mapeado diretamente do campo ExtendedProperties após a análise JSON. |
CompromisedEntity |
principal.resource.attribute.labels.CompromisedEntity |
Mapeado diretamente. |
CompromisedEntityId |
security_result.detection_fields.CompromisedEntityId |
Mapeado diretamente do campo ExtendedProperties após a análise JSON. |
ConfidenceLevel |
security_result.confidence_details |
Mapeado diretamente. |
ConfidenceScore |
security_result.detection_fields.ConfidenceScore |
Mapeado diretamente. |
cribl_pipe |
additional.fields.cribl_pipe |
Mapeado diretamente. |
Description |
security_result.description |
Mapeado diretamente. |
DestinationDevice |
security_result.detection_fields.DestinationDevice OU target.ip |
Mapeado do campo ExtendedProperties após a análise JSON. Se o valor for um endereço IP válido, ele será mapeado para target.ip . Caso contrário, ele será mapeado como um campo de detecção. |
DestinationDeviceAddress |
target.ip |
Mapeado do campo ExtendedProperties após a análise JSON, somente se for um endereço IP válido. |
DeviceId |
security_result.detection_fields.DeviceId |
Mapeado diretamente do campo ExtendedProperties após a análise JSON. |
DisplayName |
security_result.summary |
Mapeado diretamente. |
EndTime |
about.labels.EndTime |
Mapeado diretamente. |
Entities.Address |
principal.asset.ip |
Extraídos da matriz Entities após a análise JSON. Somente os endereços IP são mapeados. |
Entities.HostName |
principal.asset.hostname OU principal.asset.ip |
Extraídos da matriz Entities após a análise JSON. Se o valor for um endereço IP válido, ele será mapeado para principal.asset.ip . Caso contrário, ele será mapeado para principal.asset.hostname . |
Entities.IoTDevice.DeviceId |
security_result.detection_fields.IoTDeviceID |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.DeviceType |
security_result.detection_fields.IoTDeviceType |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.DeviceTypeId |
security_result.detection_fields.IoTDeviceTypeId |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.Importance |
security_result.detection_fields.IoTDeviceImportance |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.IoTSecurityAgentId |
security_result.detection_fields.IoTSecurityAgentId |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.Manufacturer |
security_result.detection_fields.IoT Manufacturer |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.OperatingSystem |
principal.asset.platform_software.platform_version |
Extraídos da matriz Entities após a análise JSON, com os espaços à direita removidos. |
Entities.IoTDevice.PurdueLayer |
security_result.detection_fields.IoT PurdueLayer |
Extraídos da matriz Entities após a análise JSON. |
Entities.IoTDevice.Sensor |
security_result.detection_fields.IoT Sensor |
Extraídos da matriz Entities após a análise JSON. |
ExtendedProperties.Protocol |
security_result.detection_fields.Protocol |
Mapeado diretamente do campo ExtendedProperties após a análise JSON. |
ExtendedProperties.SensorId |
security_result.detection_fields.SensorId |
Mapeado diretamente do campo ExtendedProperties após a análise JSON. |
ExtendedProperties.SourceDevice |
principal.ip OU security_result.detection_fields.SourceDevice |
Mapeado do campo ExtendedProperties após a análise JSON. Se o valor for um endereço IP válido, ele será mapeado para principal.ip . Caso contrário, ele será mapeado como um campo de detecção. |
ExtendedProperties.SourceDeviceAddress |
principal.ip |
Mapeado do campo ExtendedProperties após a análise JSON, somente se for um endereço IP válido. |
IsIncident |
security_result.detection_fields.IsIncident |
Mapeado diretamente, convertido em string. |
ProcessingEndTime |
about.labels.ProcessingEndTime |
Mapeado diretamente. |
ProductComponentName |
principal.resource.attribute.labels.ProductComponentName |
Mapeado diretamente. |
ProductName |
principal.resource.attribute.labels.ProductName |
Mapeado diretamente. |
ProviderName |
principal.resource.attribute.labels.ProviderName |
Mapeado diretamente. |
ResourceId |
principal.resource.product_object_id , target.resource.name |
Mapeado diretamente. |
SourceComputerId |
principal.asset.asset_id |
Mapeado diretamente, com prefixo "SourceComputerId:". |
SourceSystem |
security_result.detection_fields.SourceSystem |
Mapeado diretamente. |
StartTime |
about.labels.StartTime |
Mapeado diretamente. |
Status |
security_result.detection_fields.Status |
Mapeado diretamente. |
SystemAlertId |
metadata.product_log_id |
Mapeado diretamente. |
Tactics |
security_result.attack_details.tactics.name |
Extraídos do campo Tactics após a análise JSON e a remoção de barra invertida. |
Techniques |
security_result.attack_details.techniques.id |
Extraídos do campo Techniques após a análise JSON e a remoção de barra invertida. |
TenantId |
additional.fields.TenantId |
Mapeado diretamente. |
TimeGenerated |
about.labels.TimeGenerated |
Mapeado diretamente. |
timestamp |
metadata.event_timestamp , events.timestamp |
Mapeado diretamente. |
VendorName |
metadata.vendor_name |
Mapeado diretamente. |
VendorOriginalId |
additional.fields.VendorOriginalId |
Mapeado diretamente. |
_time |
metadata.event_timestamp , events.timestamp |
Analisado como um carimbo de data/hora usando o formato UNIX ou UNIX_MS. |
(Parser Logic) | metadata.event_type |
Defina como "USER_RESOURCE_ACCESS" se o principal, o destino e o ResourceId estiverem presentes. Caso contrário, defina como "GENERIC_EVENT". |
(Parser Logic) | metadata.log_type |
Defina como "MICROSOFT_SENTINEL". |
(Parser Logic) | metadata.product_name |
Defina como "MICROSOFT_SENTINEL". |
Alterações
2023-11-03
- "ResourceId" foi mapeado para "target.resource.name".
- Quando "ResourceId" é "not null" e o evento tem "principal" ou "target" como "not null", mapeie "metadata.event_type" para "USER_RESOURCE_ACCESS".
2023-08-31
- Parser recém-criado.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.