PowerDMARC Elastic SIEM-implementatiegids
Inleiding
Met de Elastic SIEM-integratie van PowerDMARC kunt u uw e-mailverificatie- en domeinbeveiligingsaudituit gegevens naadloos rechtstreeks in uw Elastic Stack-omgeving opnemen en monitoren. Door gebruik te maken van de PowerDMARC API en de ingebouwde httpjson-input van Elastic Agent kunnen organisaties een gestroomlijnde SIEM-integratie bouwen zonder externe scripts of complexe configuraties — eenvoudig configureren via de Kibana-webinterface, implementeren en gecentraliseerd inzicht krijgen in hun e-mailbeveiligingsstatus voor alle domeinen.
Deze handleiding behandelt de volledige installatie: van het installeren van Elastic Agent tot het configureren van de API-integratie, het bouwen van ingest-pijplijnen voor veldtoewijzing en verrijking, en het maken van een monitoringdashboard — allemaal uitgevoerd via de Kibana-webinterface en Dev Tools Console.
API-documentatie: https://app.powerdmarc.com/swagger-ui/index.html
Alternatieve documentatie: https://api.powerdmarc.com/
Overzicht architectuur
Voor dit voorbeeld gebruiken we het auditlogboek-eindpunt voor testdoeleinden en ter illustratie.
PowerDMARC REST API
↓
Elastic Agent (httpjson-invoer) — geïnstalleerd op uw host
↓
Elasticsearch-opnamepijplijn (ECS-toewijzing, GeoIP, ontdubbeling)
↓
Elasticsearch-gegevensstroom (logs-powerdmarc.audit-*)
↓
Kibana (Ontdekken, Dashboards, Waarschuwingen, Detectieregels)
De Elastic Agent draait op uw hostcomputer (Windows, Linux of macOS) en vraagt de PowerDMARC API op met een configureerbare interval. Elk antwoord wordt opgesplitst in afzonderlijke auditlogboekgebeurtenissen, verwerkt via een ingest-pijplijn voor veldnormalisatie en -verrijking, en opgeslagen in een Elasticsearch-datastroom. Kibana zorgt voor de visualisatie en waarschuwingslaag.
Vereisten
Zorg ervoor dat u, voordat u begint, beschikt over:
Elastic Stack 8.x-implementatie (Elastic Cloud of zelf beheerd) met toegang tot Kibana
Fleet ingeschakeld in uw Elastic-implementatie
Toestemming om ingest-pijplijnen, agentbeleidsregels en pakketbeleidsregels te maken
Een hostcomputer (Windows, Linux of macOS) waarop Elastic Agent kan worden geïnstalleerd
Een PowerDMARC API Bearer Token met toestemming om toegang te krijgen tot auditlogboeken
Netwerkconnectiviteit van de host naar zowel de PowerDMARC API als uw Elasticsearch-cluster
Configuratiestappen
Alle configuraties worden uitgevoerd via de Kibana Dev Tools Console. Deze biedt één interface voor het maken van pijplijnen, het beheren van Fleet-beleidsregels en het controleren van gegevensopname.
Stap 1: Open de Dev Tools Console
Open uw Kibana-URL in de browser.
Klik op het hamburgermenu (☰) linksboven.
Scroll naar beneden naar Beheer en klik op Dev Tools.
De Console-editor wordt geopend met een linkerpaneel (invoer) en een rechterpaneel (reactie).
Wis alle standaard voorbeeldcode in het linkerpaneel.
Stap 2: Maak de ingest-pijplijn
De ingest-pijplijn normaliseert onbewerkte PowerDMARC API-velden naar het Elastic Common Schema (ECS)-formaat, verrijkt IP-adressen met GeoIP-gegevens en genereert een op vingerafdrukken gebaseerde document-ID voor deduplicatie.
Plak en voer het volgende uit in Dev Tools:
PUT _ingest/pipeline/powerdmarc-audit-pipeline
{
"beschrijving": "Verwerk PowerDMARC-auditlogboeken in ECS-velden",
"processors": [
{
"json": {
"veld": "bericht",
"target_field": "powerdmarc"
}
},
{
"date": {
"veld": "powerdmarc.created_at",
"formaten": ["jjjj-MM-dd HH:mm:ss"],
"target_field": "@timestamp"
}
},
{
"rename": {
"veld": "powerdmarc.gebruikersnaam",
"target_field": "user.name",
"ignore_missing": true
}
},
{
"rename": {
"veld": "powerdmarc.action",
"target_field": "event.action",
"ignore_missing": true
}
},
{
"rename": {
"veld": "powerdmarc.ip_adres",
"target_field": "source.ip",
"ignore_missing": true
}
},
{
"rename": {
"veld": "powerdmarc.a_gebruikersnaam",
"target_field": "user.target.name",
"ignore_missing": true
}
},
{
"rename": {
"veld": "powerdmarc.other",
"target_field": "event.reason",
"ignore_missing": true
}
},
{ "set": { "field": "event.kind", "value": "event" } },
{ "set": { "field": "event.category", "value": "configuration" } },
{ "set": { "field": "observer.vendor", "value": "PowerDMARC" } },
{ "set": { "field": "observer.product", "value": "PowerDMARC" } },
{
"geoip": {
"veld": "bron.ip",
"target_field": "source.geo",
"ignore_missing": true
}
},
{
"fingerprint": {
"velden": ["gebruikersnaam", "gebeurtenisactie",
"bron.ip", "@tijdstempel"],
"target_field": "_id",
"ignore_missing": true
}
},
{
"remove": {
"veld": ["powerdmarc", "bericht"],
"ignore_missing": true
}
}
]
}
Verwachte reactie:
{ "acknowledged": true }
Stap 3: Zoek uw agentpolisnummer
Je hebt de ID nodig van het agentbeleid waar de integratie aan gekoppeld zal worden. Voer het volgende uit:
GET kbn:/api/fleet/agent_policies
Zoek in het antwoord het beleid dat u wilt gebruiken en kopieer de id-waarde ervan. Als u meerdere beleidsregels hebt, gebruik dan degene die is toegewezen aan de host waarop Elastic Agent wordt uitgevoerd — meestal niet het Fleet Server-beleid.
Stap 4: Maak de httpjson-integratie
Dit creëert een door Fleet beheerde httpjson-integratie die de PowerDMARC API pollt, authenticatie, paginering en responssplitsing afhandelt — allemaal geconfigureerd via één enkele API-aanroep.
Vervang twee plaatshouders:
YOUR_AGENT_POLICY_ID - het ID uit stap 3
YOUR_POWERDMARC_API_KEY - uw PowerDMARC API Bearer-token
POST kbn:/api/fleet/package_policies
{
"policy_ids": ["YOUR_AGENT_POLICY_ID"],
"package": { "name": "httpjson", "version": "1.24.0" },
"naam": "powerdmarc-audit-logs",
"beschrijving": "PowerDMARC Audit Logs REST API-integratie",
"naamruimte": "standaard",
"inputs": {
"generic-httpjson": {
"enabled": true,
"streams": {
"httpjson.generic": {
"enabled": true,
"vars": {
"data_stream.dataset": "powerdmarc.audit",
"pijplijn": "powerdmarc-audit-pijplijn",
"request_url": "https://app.powerdmarc.com/api/v1/audit-logs",
"request_interval": "60m",
"request_method": "GET",
"request_transforms": [
{
"set": {
"target": "url.params.api_key",
"waarde": "UW_API_SLEUTEL_HIER"
}
}
],
"response_split": "target: body.data",
"response_pagination": [
{
"set": {
"target": "url.params.page",
"waarde": "[[.last_response.body.current_page]]",
"fail_on_template_error": true
}
}
],
"request_redirect_headers_ban_list": [],
"oauth_scopes": [],
"tags": ["doorverwezen", "powerdmarc-audit"]
}
}
}
}
}
}
Verwachte reactie:
{
"item": {
"id": "<integration-id>",
"naam": "powerdmarc-audit-logs",
...
}
}
Stap 5: Installeer de Elastic Agent
De Elastic Agent moet worden geïnstalleerd op een hostmachine die netwerktoegang heeft tot zowel de PowerDMARC API als uw Elasticsearch-cluster. De agent draait als een service en wordt op afstand beheerd via Fleet.
U kunt de agent rechtstreeks downloaden van de website van Elastic hier
Stap 6: Gegevensinvoer valideren
Nadat de agent de polis heeft opgehaald (meestal binnen 1-2 minuten), zou de eerste API-fetch automatisch moeten plaatsvinden. Controleer of de gegevens worden doorgegeven:
6a. Aantal documenten controleren
In Dev Tools:
GET logs-powerdmarc.audit-*/_count
Een telling groter dan 0 bevestigt dat er gegevens binnenkomen.
6b. Controleer een voorbeelddocument
GET logs-powerdmarc.audit-*/_search?size=1
Controleer of het document correct geparseerde ECS-velden bevat:
gebruikersnaam — de gebruikersnaam van degene die de actie heeft uitgevoerd
event.action — beschrijving van de ondernomen actie
bron.ip — oorspronkelijk IP-adres
source.geo.* — GeoIP-verrijking (land, stad, coördinaten)
@tijdstempel — geparseerde gebeurtenistijdstempel
6c. Controleer in Discover
Ga naar Analytics → Ontdekken.
Klik op de vervolgkeuzelijst voor gegevensweergave en selecteer of maak een gegevensweergave voor logs-powerdmarc.audit-*.
Stel het tijdsbereik in op Laatste 30 dagen.
Auditlogboekgebeurtenissen moeten worden weergegeven met alle toegewezen velden.
Stap 7: Maak een Kibana-gegevensweergave
Maak een speciale gegevensweergave zodat de PowerDMARC-audituitkomsten in Discover verschijnen en kunnen worden gebruikt in dashboardvisualisaties.
Uitvoeren in Dev Tools:
POST kbn:/api/data_views/data_view
{
"data_view": {
"title": "logs-powerdmarc.audit-*",
"naam": "PowerDMARC-auditlogboeken",
"timeFieldName": "@timestamp"
}
}
Noteer de geretourneerde id-waarde — deze is nodig als u dashboardpanelen programmatisch wilt maken.
Stap 8: Bouw een dashboard
U kunt het bestand dashboard.txt downloaden dat aan het einde van deze handleiding is bijgevoegd en het uitvoeren met Dev Tools om automatisch het dashboard te maken.
Volgende stappen
Op dit moment worden PowerDMARC-auditlogboeken met succes opgenomen in Elastic. U kunt nu:
Maak detectieregels voor verdachte activiteiten (bijvoorbeeld aanmeldingen vanaf onverwachte IP-adressen of landen, mislukte aanmeldingen, bulkconfiguratiewijzigingen).
Stel waarschuwingen in via het ingebouwde waarschuwingsframework van Elastic of connectoren voor e-mail, Slack, enz.
Koppel PowerDMARC-auditgegevens aan andere beveiligingslogboeken in uw SIEM voor uitgebreide detectie van bedreigingen.
Breid de integratie uit naar extra PowerDMARC API-eindpunten (DMARC-aggregatierapporten, forensische rapporten)
Stel nalevingsrapporten op met behulp van de rapportagemogelijkheden van Kibana.