微软后卫ATP
Microsoft Defender Advanced Threat Protection (ATP)是一款威胁检测和响应产品,可免费试用或订阅。您可以在InsightIDR中将Microsoft Defender ATP配置为第三方警报事件源,该事件源允许您通过API解析系统日志。本文将指导您完成Microsoft Defender ATP事件源配置过程。
关于这个事件源的InsightIDR警报,你应该知道的是:
- InsightIDR为所有严重程度中等或更高的ATP事件生成警报。事件分类为恶意软件,勒索软件,或利用与严重程度中等或更高将产生病毒警报.所有其他严重程度中等或更高的事件都将产生第三方通知.
- 所有严重程度较低的ATP事件被发送到Log Search。虽然我们不为低严重性事件生成警报,但您仍然可以通过选择在Log Search中访问它们未解析日志>[事件源名称].
- InsightIDR抑制与已修复威胁相关的警报,以减少您收到的良性警报数量。
本文涵盖以下主题:
在你开始之前
要将Microsoft Defender ATP配置为事件源,请验证您的组织是否满足以下条件:
- 您必须订阅Microsoft Defender ATP,才能将其配置为InsightIDR中的事件源。
- 如果您目前还没有订阅Microsoft Defender ATP,请查看以下微软页面以获得试用和购买选项:https://www.microsoft.com/en-us/microsoft-365/windows/microsoft-defender-atp
- 为了生成InsightIDR将查询的日志,您必须使用Microsoft Defender ATP装载打算监控的资产。
- 你可以通过以下微软文档中详细的步骤手动加载你的资产:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/configure-endpoints-script
- 在配置期间,您可以通过选择“发送未解析的数据”复选框来确保将写入未解析的数据。
在Microsoft Defender ATP中启用SIEM集成
要配置此事件源,必须首先在Microsoft Defender ATP中启用SIEM集成选项。启用此选项将生成一系列“SIEM应用程序细节”,在添加新的事件源时将它们复制到InsightIDR。
按照微软文档中的说明启用SIEM集成:
重要的
仔细注意启用SIEM集成选项时产生的客户端机密。出于安全原因,您的客户端秘密将只显示一次,因此您需要确保在此时复制客户端秘密。如果您需要生成新的密钥,请参见以下Microsoft文档:
在此事件源配置过程的其余部分中,保持“SIEM应用程序详细信息”页面打开并可用。下一步将把这些值复制到InsightIDR。
在InsightIDR中将Microsoft Defender ATP配置为事件源
随着SIEM应用程序细节打开并可用,您可以在InsightIDR中添加Microsoft Defender ATP作为新的第三方警报事件源。
要添加此事件源,请执行以下操作:
- 在InsightIDR中,打开数据收集选项卡在你的左边菜单。
- 在“数据采集管理”页面,展开设置事件源下拉链接并单击添加事件源.
- 浏览到“添加事件源”窗口的“第三方警报”部分,然后单击微软后卫ATP.
- 从下拉列表中选择您的收集器。
- 如果需要,给这个事件源配置一个名称。
- 展开“Credential”下的下拉菜单并选择创建新的.
- 命名您的凭据。您将能够在其他事件源配置中通过此名称选择凭据。
提示—检查您的SIEM应用程序的详细信息
步骤8中详细说明的字段需要SIEM应用程序细节中的值,这些值是在Microsoft Defender ATP中启用SIEM集成时生成的。
- 复制以下Microsoft Defender ATP字段的值,并将它们粘贴到InsightIDR事件源配置中提供的匹配字段中:
- “客户机ID”
- “客户的秘密”
- “授权服务器URL”
- 从下拉列表中选择数据区域。
- 点击保存当完成。
您的Microsoft Defender ATP事件源将立即开始监听由已安装资产生成的日志。
验证配置
在配置了事件源之后,查看原始日志,以确保事件被保存到Collector中。正如您将在下面的3个示例中看到的,日志数据的位置根据数据类型而变化。
查看您的日志:
- 从左边的菜单中,单击日志搜索.
- 做以下其中之一:
- 查看反病毒日志,单击病毒警报> [Microsoft Defender ATP事件源的名称].
- 查看第三方日志,单击第三方警报> [Microsoft Defender ATP事件源名称].
- 查看未解析日志,单击未解析> [Microsoft Defender ATP事件源名称].
示例日志
病毒警报
1
{
2
“时间戳”:“2020 - 06 - 11 t00:40:27.940z”,
3.
“资产”:“jdoedev042.acme.com”,
4
"用户":"小乔治·赫尔曼·鲁斯",
5
“user_domain”:“acme.com”,
6
“source_address”:“jdoedev042.acme.com”,
7
“风险”:“木马:Win32 / Ludicrouz。Y”,
8
“行动”:“invalid_action”,
9
" source_json ": {
10
“AlertTime”:“2020 - 06 - 11 t00:40:27.9406632z”,
11
“ComputerDnsName”:“jdoedev042.acme.com”,
12
"AlertTitle": "检测到'Ludicrouz'恶意软件",
13
“类别”:“恶意软件”,
14
“严重程度”:“信息”,
15
:“AlertId da637123456789123456_ - 1234123400”,
16
:“演员”,
17
“LinkToWDATP”:“https://securitycenter.windows.com/alert/da637123456789123456_ - 1234123400”,
18
“IocName”:“”,
19
“IocValue”:“”,
20.
“CreatorIocName”:“”,
21
“CreatorIocValue”:“”,
22
:“Sha1 abcdef0123456789ffffffff0000000012345678”,
23
“文件名”:“SoftonicDownloader_for_wholockme-explorer-extension.exe”,
24
"C:\\程序文件\\合法程序",
25
“IpAddress”:“”,
26
" Url ": " ",
27
:“IoaDefinitionId d60f5b90 ecd8 - 4 d77 - 8186 a801597ec762”,
28
“用户名”:“”,
29
“AlertPart”:0,
30.
:“FullId da637123456789123456_ - 1234123400: ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = ",
31
“LastProcessedTimeUtc”:“2020 - 06 - 11 t00:42:25.4301645z”,
32
“ThreatCategory”:“木马”,
33
:“ThreatFamily Ludicrouz”,
34
:“ThreatName特洛伊:Win32 / Ludicrouz。Y”,
35
:“RemediationAction invalid_action”,
36
“RemediationIsSuccess”:空,
37
“源”:“杀毒软件”,
38
“Md5”:“”,
39
“Sha256”:“489 d53c2437a4badb8c9d183468987aad182b23d727bc41e5416ca05a643eb97”
40
“WasExecutingWhileDetected”:假的,
41
:“列出了”,
42
“LogOnUsers”:“”,
43
“MachineDomain”:“acme.com”,
44
:“MachineName jdoedev042”,
45
:“InternalIPv4List 10.1.100.25; 127.0.0.1”,
46
:“InternalIPv6List abcd:: 1234: fb51:2276:55be;:: 1”,
47
:“FileHash abcdef0123456789ffffffff0000000012345678”,
48
:“的DeviceID aaaaaacc0e50086f0e9a6fa002e6805250bbbbbb”,
49
"MachineGroup": "Windows 10 Machines",
50
"描述":"恶意软件和不想要的软件是不受欢迎的应用程序,它们在受影响的机器上执行恼人的、破坏性的或有害的操作。有些不受欢迎的应用程序可以从一台计算机复制和传播到另一台计算机。另一些则能够接收来自远程攻击者的命令,并执行与网络攻击相关的活动。\n\n此检测可能表明恶意软件已停止交付其有效载荷。但是,要谨慎地检查机器是否有感染的迹象。
51
“DeviceCreatedMachineTags”:“”,
52
“CloudCreatedMachineTags”:“”,
53
“命令行”:“”,
54
“IncidentLinkToWDATP”:“https://securitycenter.windows.com/incidents/byalert?alertid=da637123456789123456_ - 1234123400 &source=siem”,
55
“ReportID”:1234567890,
56
“ExternalId”:“04 b2fakenooz3ba59bab866d24beada460c39c1f”,
57
:“IocUniqueId ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = "
58
}
59
}
第三方通知
1
{
2
“时间戳”:“2020 - 06 - 11 t14:36:23.792z”,
3.
“产品”:“MICROSOFT_DEFENDER_ATP”,
4
“类型”:“执行”,
5
“严重程度”:“媒介”,
6
"title": "可疑URL点击",
7
"description": "用户打开了一个潜在的恶意URL。该警报是基于Office 365 ATP警报触发的。”
8
:“alert_id d60f5b90 ecd8 - 4 d77 - 8186 a801597ec761”,
9
"用户":"小乔治·赫尔曼·鲁斯",
10
“资产”:“companyserver.acmecorp.com”,
11
" source_json ": {
12
“AlertTime”:“2020 - 06 - 11 t14:36:23.7921017z”,
13
“ComputerDnsName”:“companyserver.acmecorp.com”,
14
"AlertTitle": "可疑URL点击",
15
“类别”:“执行”,
16
“严重程度”:“媒介”,
17
:“AlertId da637123456789123456_ - 123412340”,
18
:“演员”,
19
“LinkToWDATP”:“https://securitycenter.windows.com/alert/da637123456789123456_ - 123412340”,
20.
“IocName”:“”,
21
“IocValue”:“”,
22
“CreatorIocName”:“”,
23
“CreatorIocValue”:“”,
24
“Sha1”:“”,
25
“文件名”:“”,
26
“FilePath”:“”,
27
“IpAddress”:“”,
28
“Url”:“https://ms.outlook.com/?url=http%3A%2F%2F2google.com%2Freal%2furl¶meter=0”,
29
:“IoaDefinitionId d60f5b90 ecd8 - 4 d77 - 8186 a801597ec761”,
30.
“用户名”:“babe.ruth”,
31
“AlertPart”:0,
32
:“FullId da637123456789123456_ - 123412340: ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = ",
33
“LastProcessedTimeUtc”:“2020 - 06 - 11 t15:07:20.475304z”,
34
“ThreatCategory”:“”,
35
“ThreatFamily”:“”,
36
“ThreatName”:“”,
37
“RemediationAction”:“”,
38
“RemediationIsSuccess”:空,
39
“来源”:“Microsoft威胁保护”,
40
“Md5”:“”,
41
“Sha256”:“”,
42
“WasExecutingWhileDetected”:空,
43
“列出了”:“acmecorp”,
44
“LogOnUsers”:“acmecorp \ \ babe.ruth”,
45
“MachineDomain”:“acmecorp.com”,
46
:“MachineName companyserver”,
47
:“InternalIPv4List 10.1.100.25; 127.0.0.1”,
48
:“InternalIPv6List abcd:: 1234: fb51:2276:55be;:: 1”,
49
“FileHash”:“”,
50
“的DeviceID”:“4919 a03922efd081394504f7ed15c05f5770c4e3”
51
"MachineGroup": "Windows 10 Machines",
52
"描述":"用户打开了一个潜在的恶意URL。该警报是基于Office 365 ATP警报触发的。”
53
“DeviceCreatedMachineTags”:“”,
54
“CloudCreatedMachineTags”:“”,
55
“命令行”:“\”OUTLOOK.EXE \ ",
56
“IncidentLinkToWDATP”:“https://securitycenter.windows.com/incidents/byalert?alertid=da637123456789123456_ - 123412340 &source=siem”,
57
“ReportID”:1234567890,
58
“ExternalId”:“04 b2fakenooz3ba59bab866d24beada460c39c1f”,
59
:“IocUniqueId ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = "
60
}
61
}
未解析
1
{
2
“AlertTime”:“2020 - 04 - 06 t18:51:07.9071511z”,
3.
:“ComputerDnsName dev - 1543”,
4
"AlertTitle": "Microsoft Defender ATP detected 'Gen:启航。krypt . "24“恶意软件”,
5
“类别”:“恶意软件”,
6
“严重程度”:“信息”,
7
:“AlertId da637123456789123456_ - 1234123400”,
8
:“演员”,
9
“LinkToWDATP”:“https://securitycenter.windows.com/alert/da637123456789123456_ - 1234123400”,
10
“IocName”:“”,
11
“IocValue”:“”,
12
“CreatorIocName”:“”,
13
“CreatorIocValue”:“”,
14
:“Sha1 abcdef0123456789ffffffff0000000012345678”,
15
“文件名”:“zdravooo.exe”,
16
:“FilePath肯定/卷/ /合理/ zdravooo.exe /”,
17
“IpAddress”:“”,
18
" Url ": " ",
19
:“IoaDefinitionId e9e7c54e - 5067 - 4247 - 9 - dd0 ab939a550159”,
20.
“用户名”:“”,
21
“AlertPart”:0,
22
:“FullId da637123456789123456_ - 1234123400: ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = ",
23
“LastProcessedTimeUtc”:“2020 - 04 - 06 t18:51:09.1541829z”,
24
“ThreatCategory”:“”,
25
“ThreatFamily”:“”,
26
“ThreatName”:“”,
27
“RemediationAction”:“”,
28
“RemediationIsSuccess”:空,
29
“源”:“杀毒软件”,
30.
“Md5”:“”,
31
“Sha256”:“”,
32
“WasExecutingWhileDetected”:空,
33
:“列出了”,
34
:“LogOnUsers \ \ babe.ruth”,
35
“MachineDomain”:“”,
36
:“MachineName dev - 1543”,
37
:“InternalIPv4List 10.1.100.25; 127.0.0.1”,
38
:“InternalIPv6List abcd:: 1234: fb51:2276:55be;:: 1”,
39
:“FileHash abcdef0123456789ffffffff0000000012345678”,
40
“的DeviceID”:“23 c0b68a058ae0a00006b1b474208616565c749e”,
41
“MachineGroup”:“未分组的机器”,
42
“描述”:“”,
43
“DeviceCreatedMachineTags”:“”,
44
“CloudCreatedMachineTags”:“”,
45
“命令行”:“”,
46
“IncidentLinkToWDATP”:“https://securitycenter.windows.com/incidents/byalert?alertid=da637123456789123456_ - 1234123400 &source=siem”,
47
“ReportID”:1234567890,
48
“ExternalId”:“04 b2fakenooz3ba59bab866d24beada460c39c1f”,
49
:“IocUniqueId ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = "
50
}
这个页面对你有帮助吗?