Security Onion项目中Elastic Agent安全事件仪表板的用户字段优化

在Security Onion 2.4版本中，Elastic Agent安全事件仪表板存在一个需要优化的技术细节。该仪表板原本使用user.name字段来追踪和展示用户活动，但经过技术验证，更合适的做法是使用user.effective.name字段。

背景分析

Security Onion是一个开源的网络安全监控系统，集成了多种安全工具用于威胁检测、日志管理和事件响应。其中的Elastic Agent组件负责收集端点安全事件数据，并通过仪表板可视化这些信息。

在安全事件分析中，准确识别用户身份至关重要。原始实现使用user.name字段，这个字段通常记录的是登录用户名。但在某些场景下，特别是当用户通过sudo或su等权限提升命令执行操作时，user.name可能无法反映实际执行操作的用户身份。

技术改进

技术团队识别到这个问题后，决定将仪表板中的用户标识字段从user.name替换为user.effective.name。这个改进基于以下技术考量：

1. user.effective.name字段会记录实际执行操作的用户身份，包括通过权限提升后的操作
2. 在Linux系统中，这相当于记录了有效的UID（eUID）对应的用户名
3. 对于Windows系统，这相当于记录了进程令牌中的用户名

改进后的仪表板查询语句变更为：

event.dataset:endpoint.events.security | groupby host.name | groupby -sankey host.name user.effective.name | groupby user.effective.name | groupby -sankey user.effective.name process.executable | groupby process.executable | groupby event.action | groupby event.outcome

实现细节

该改进涉及两个主要变更：

1. 仪表板查询逻辑的更新，将所有user.name引用替换为user.effective.name
2. 底层配置文件的相应修改，确保数据展示的一致性

实际价值

这项改进带来了以下好处：

• 提高了安全事件分析的准确性，特别是在涉及权限提升的场景
• 使安全团队能够更准确地追踪实际执行敏感操作的用户
• 增强了事件调查和取证的能力
• 保持了与其他安全工具的数据一致性

验证过程

技术团队在提交变更前进行了充分测试，确认：

• 新字段在各种操作场景下都能正确记录用户身份
• 仪表板的可视化效果和功能不受影响
• 历史数据的兼容性得到保持

这项优化已随Security Onion的更新推送给用户，进一步提升了这个开源安全监控方案的事件分析能力。