微软后卫ATP

Microsoft Defender Advanced Threat Protection (ATP)是一款威胁检测和响应产品,可免费试用或订阅。您可以在InsightIDR中将Microsoft Defender ATP配置为第三方警报事件源,该事件源允许您通过API解析系统日志。本文将指导您完成Microsoft Defender ATP事件源配置过程。

关于这个事件源的InsightIDR警报,你应该知道的是:

  • InsightIDR为所有严重程度中等或更高的ATP事件生成警报。事件分类为恶意软件,勒索软件,或利用与严重程度中等或更高将产生病毒警报.所有其他严重程度中等或更高的事件都将产生第三方通知
  • 所有具有低严重性的ATP事件都将发送到日志搜索。虽然我们不会为低严重性事件生成警报,但您仍然可以通过选择来在日志搜索中访问它们Unolared Logs> [事件源的名称]
  • InsightIdr抑制了与修复威胁相关的警报,以减少您收到的良性警报的数量。

本文涵盖以下主题:

在你开始之前

要将Microsoft Defender ATP配置为事件源,请验证您的组织是否满足以下条件:

在Microsoft Defender ATP中启用SIEM集成

要配置此事件源,必须首先在Microsoft Defender ATP中启用SIEM集成选项。启用此选项将生成一系列“SIEM应用程序细节”,在添加新的事件源时将它们复制到InsightIDR。

按照微软文档中的说明启用SIEM集成:

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-siem- integration.

重要的

仔细注意启用Siem Integration选项时生成的客户端秘密。出于安全原因,您的客户端秘密只会显示一次,因此您需要确保此时复制客户端秘密。如果需要生成新的秘密,请参阅以下Microsoft文档:

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/troubleshoot-custom-ti#learn-how-to-get-a-new-client-secret

在此事件源配置过程的其余部分中,保持“SIEM应用程序详细信息”页面打开并可用。下一步将把这些值复制到InsightIDR。

在InsightIDR中将Microsoft Defender ATP配置为事件源

随着SIEM应用程序细节打开并可用,您可以在InsightIDR中添加Microsoft Defender ATP作为新的第三方警报事件源。

要添加此事件源,请执行以下操作:

  1. 在InsightIDR中,打开数据收集选项卡在你的左边菜单。
  2. 在“数据采集管理”页面,展开设置事件源下拉链接并单击添加事件源
  3. 浏览到“添加事件源”窗口的“第三方警报”部分,然后单击微软后卫ATP
  1. 从下拉列表中选择收集器。
  2. 如果需要,给这个事件源配置一个名称。
  3. 展开“Credential”下的下拉菜单并选择创建新的
  4. 命名您的凭据。您将能够在其他事件源配置中通过此名称选择凭据。

提示—检查您的SIEM应用程序的详细信息

步骤8中详细说明的字段需要SIEM应用程序细节中的值,这些值是在Microsoft Defender ATP中启用SIEM集成时生成的。

  1. 复制以下Microsoft Defender ATP字段所示的值并将其粘贴到InsightIdr的事件源配置中提供的匹配字段中:
    • “客户机ID”
    • “客户的秘密”
    • “授权服务器URL”

微软ATP事件源

  1. 从下拉列表中选择您的数据区域。
  2. 点击保存当完成。

您的Microsoft Defender ATP事件源将立即开始监听由已安装资产生成的日志。

验证配置

在配置了事件源之后,查看原始日志,以确保事件被保存到Collector中。正如您将在下面的3个示例中看到的,日志数据的位置根据数据类型而变化。

查看您的日志:

  1. 从左边的菜单中,单击日志搜索
  2. 做以下其中之一:
    • 查看反病毒日志,单击病毒警报> [Microsoft Defender ATP事件源的名称]
    • 查看第三方日志,单击第三方警报> [Microsoft Defender ATP事件源名称]
    • 查看未解析日志,单击unparsed> [Microsoft Defender ATP事件源的名称]

示例日志

病毒警报

         
1
2
“时间戳”:“2020 - 06 - 11 t00:40:27.940z”,
3.
“资产”:“jdoedev042.acme.com”,
4
"用户":"小乔治·赫尔曼·鲁斯",
5
“user_domain”:“acme.com”,
6
“source_address”:“jdoedev042.acme.com”,
7
“风险”:“木马:Win32 / Ludicrouz。Y”,
8
“行动”:“invalid_action”,
9
" source_json ": {
10.
“AlertTime”:“2020 - 06 - 11 t00:40:27.9406632z”,
11.
“ComputerDnsName”:“jdoedev042.acme.com”,
12.
"AlertTitle": "检测到'Ludicrouz'恶意软件",
13.
“类别”:“恶意软件”,
14.
“严重程度”:“信息”,
15.
:“AlertId da637123456789123456_ - 1234123400”,
16.
:“演员”,
17.
“linktowdatp”:“https://securitycenter.windows.com/alert/da637123456789123456_1234123400”,
18.
“IocName”:“”,
19.
“Iocvalue”:“”,
20.
“CreatorIocName”:“”,
21.
“creatoriocvalue”:“”,
22.
:“Sha1 abcdef0123456789ffffffff0000000012345678”,
23.
“filename”:“softonicdownloader_for_wholockme-explorer-extension.exe”,
24.
"C:\\程序文件\\合法程序",
25.
“IpAddress”:“”,
26.
" Url ": " ",
27.
“ioadefinitionId”:“D60F5B90-ECD8-4D77-8186-A801597EC762”,
28.
“用户名”:“”,
29.
“AlertPart”:0,
30.
:“FullId da637123456789123456_ - 1234123400: ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = ",
31.
“LastProcessedTimeUtc”:“2020 - 06 - 11 t00:42:25.4301645z”,
32.
“威胁类别”:“木马”,
33.
:“ThreatFamily Ludicrouz”,
34.
“威胁名称”:“木马:Win32 / Ludicrouz.y”,
35
“修复方法”:“Invalid_Action”,
36.
“修复”:null,
37.
“源”:“杀毒软件”,
38.
“MD5”:“”,
39.
“Sha256”:“489 d53c2437a4badb8c9d183468987aad182b23d727bc41e5416ca05a643eb97”
40
“WasExecutingWhileDetected”:假的,
41.
“userdomain”:“”,
42.
“LogOnUsers”:“”,
43.
“MachineDomain”:“acme.com”,
44.
:“MachineName jdoedev042”,
45.
:“InternalIPv4List 10.1.100.25; 127.0.0.1”,
46.
:“InternalIPv6List abcd:: 1234: fb51:2276:55be;:: 1”,
47.
“FileHash”:“ABCDEF0123456789FFFFFFFF0000000012345678”,
48.
:“的DeviceID aaaaaacc0e50086f0e9a6fa002e6805250bbbbbb”,
49.
"MachineGroup": "Windows 10 Machines",
50.
"描述":"恶意软件和不想要的软件是不受欢迎的应用程序,它们在受影响的机器上执行恼人的、破坏性的或有害的操作。有些不受欢迎的应用程序可以从一台计算机复制和传播到另一台计算机。另一些则能够接收来自远程攻击者的命令,并执行与网络攻击相关的活动。\n\n此检测可能表明恶意软件已停止交付其有效载荷。但是,要谨慎地检查机器是否有感染的迹象。
51.
“DeviceCreatedMachineTags”:“”,
52.
“CloudCreatedMachineTags”:“”,
53.
“命令行”:“”,
54.
“IncidentLinkToWDATP”:“https://securitycenter.windows.com/incidents/byalert?alertid=da637123456789123456_ - 1234123400 &source=siem”,
55.
“resideDid”:1234567890,
56.
“ExternalId”:“04 b2fakenooz3ba59bab866d24beada460c39c1f”,
57.
:“IocUniqueId ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = "
58.
59.

第三方通知

         
1
2
“时间戳”:“2020-06-11T14:36:23.792z”,
3.
“产品”:“Microsoft_defender_atp”,
4
“类型”:“执行”,
5
“严重程度”:“媒介”,
6
"title": "可疑URL点击",
7
"description": "用户打开了一个潜在的恶意URL。该警报是基于Office 365 ATP警报触发的。”
8
:“alert_id d60f5b90 ecd8 - 4 d77 - 8186 a801597ec761”,
9
"用户":"小乔治·赫尔曼·鲁斯",
10.
“资产”:“companyserver.acmecorp.com”,
11.
" source_json ": {
12.
“AlertTime”:“2020 - 06 - 11 t14:36:23.7921017z”,
13.
“ComputerDnsName”:“companyserver.acmecorp.com”,
14.
"AlertTitle": "可疑URL点击",
15.
“类别”:“执行”,
16.
“严重程度”:“媒介”,
17.
:“AlertId da637123456789123456_ - 123412340”,
18.
:“演员”,
19.
“linktowdatp”:“https://securitycenter.windows.com/alert/da637123456789123456789123456789123450”,
20.
“IocName”:“”,
21.
“Iocvalue”:“”,
22.
“CreatorIocName”:“”,
23.
“creatoriocvalue”:“”,
24.
“Sha1”:“”,
25.
“文件名”:“”,
26.
“FilePath”:“”,
27.
“IpAddress”:“”,
28.
“Url”:“https://ms.outlook.com/?url=http%3A%2F%2F2google.com%2Freal%2furl¶meter=0”,
29.
“ioadefinitionId”:“D60F5B90-ECD8-4D77-8186-A801597EC761”,
30.
“用户名”:“babe.ruth”,
31.
“AlertPart”:0,
32.
:“FullId da637123456789123456_ - 123412340: ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = ",
33.
“LastProcessedTimeUtc”:“2020 - 06 - 11 t15:07:20.475304z”,
34.
“ThreatCategory”:“”,
35
“ThreatFamily”:“”,
36.
“ThreatName”:“”,
37.
“修复”:“”,
38.
“修复”:null,
39.
“来源”:“Microsoft威胁保护”,
40
“MD5”:“”,
41.
“Sha256”:“”,
42.
“WasExecutingWhileDetected”:空,
43.
“列出了”:“acmecorp”,
44.
“LogOnUsers”:“acmecorp \ \ babe.ruth”,
45.
“MachineDomain”:“acmecorp.com”,
46.
“machinename”:“companyserver”,
47.
:“InternalIPv4List 10.1.100.25; 127.0.0.1”,
48.
:“InternalIPv6List abcd:: 1234: fb51:2276:55be;:: 1”,
49.
“FileHash”:“”,
50.
“DeviceID”:“4919A03922EFD081394504F7ED15C05F5770C4E3”,
51.
"MachineGroup": "Windows 10 Machines",
52.
"描述":"用户打开了一个潜在的恶意URL。该警报是基于Office 365 ATP警报触发的。”
53.
“DeviceCreatedMachineTags”:“”,
54.
“CloudCreatedMachineTags”:“”,
55.
“命令行”:“\”OUTLOOK.EXE \ ",
56.
“IncidentLinkToWDATP”:“https://securitycenter.windows.com/incidents/byalert?alertid=da637123456789123456_ - 123412340 &source=siem”,
57.
“resideDid”:1234567890,
58.
“ExternalId”:“04 b2fakenooz3ba59bab866d24beada460c39c1f”,
59.
:“IocUniqueId ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = "
60.
61.

未解析

         
1
2
“警报时间”:“2020-04-06T18:51:07.9071511z”,
3.
:“ComputerDnsName dev - 1543”,
4
"AlertTitle": "Microsoft Defender ATP detected 'Gen:启航。krypt . "24“恶意软件”,
5
“类别”:“恶意软件”,
6
“严重程度”:“信息”,
7
:“AlertId da637123456789123456_ - 1234123400”,
8
:“演员”,
9
“linktowdatp”:“https://securitycenter.windows.com/alert/da637123456789123456_1234123400”,
10.
“IocName”:“”,
11.
“Iocvalue”:“”,
12.
“CreatorIocName”:“”,
13.
“creatoriocvalue”:“”,
14.
:“Sha1 abcdef0123456789ffffffff0000000012345678”,
15.
“文件名”:“zdravooo.exe”,
16.
:“FilePath肯定/卷/ /合理/ zdravooo.exe /”,
17.
“IpAddress”:“”,
18.
" Url ": " ",
19.
:“IoaDefinitionId e9e7c54e - 5067 - 4247 - 9 - dd0 ab939a550159”,
20.
“用户名”:“”,
21.
“AlertPart”:0,
22.
:“FullId da637123456789123456_ - 1234123400: ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = ",
23.
“LastProcessedTimeutc”:“2020-04-06T18:51:09.1541829Z”,
24.
“ThreatCategory”:“”,
25.
“ThreatFamily”:“”,
26.
“ThreatName”:“”,
27.
“修复”:“”,
28.
“修复”:null,
29.
“源”:“杀毒软件”,
30.
“MD5”:“”,
31.
“Sha256”:“”,
32.
“WasExecutingWhileDetected”:空,
33.
“userdomain”:“”,
34.
:“LogOnUsers \ \ babe.ruth”,
35
“MachineDomain”:“”,
36.
“machinename”:“dev-1543”,
37.
:“InternalIPv4List 10.1.100.25; 127.0.0.1”,
38.
:“InternalIPv6List abcd:: 1234: fb51:2276:55be;:: 1”,
39.
“FileHash”:“ABCDEF0123456789FFFFFFFF0000000012345678”,
40
“的DeviceID”:“23 c0b68a058ae0a00006b1b474208616565c749e”,
41.
“MachineGroup”:“未完成的机器”,
42.
“描述”:“”,
43.
“DeviceCreatedMachineTags”:“”,
44.
“CloudCreatedMachineTags”:“”,
45.
“命令行”:“”,
46.
“IncidentLinkToWDATP”:“https://securitycenter.windows.com/incidents/byalert?alertid=da637123456789123456_ - 1234123400 &source=siem”,
47.
“resideDid”:1234567890,
48.
“ExternalId”:“04 b2fakenooz3ba59bab866d24beada460c39c1f”,
49.
:“IocUniqueId ABC34_FaKE1234EdsoMla8oIAs \ + IOx0NjJjtD3M98h8 = "
50.