Naslouchání událostem SIEM na samostatném senzoru Defenderu for Identity
Tento článek popisuje požadovanou syntaxi zpráv při konfiguraci samostatného senzoru Defenderu for Identity pro naslouchání podporovaným typům událostí SIEM. Naslouchání událostem SIEM je jednou z metod pro vylepšení schopností detekce s dalšími událostmi Windows, které nejsou dostupné ze sítě řadiče domény.
Další informace najdete v tématu Přehled shromažďování událostí systému Windows.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.
Analýza zabezpečení RSA
Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem RSA Security Analytics:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
V této syntaxi:
Hlavička syslogu je volitelná.
Oddělovač
\nznaků je povinný mezi všemi poli.Pole v pořadí jsou:
- (Povinné) Konstanta RsaSA
- Časové razítko skutečné události. Ujistěte se, že se nejedná o časové razítko příjezdu do SIEM nebo odeslání do Defenderu for Identity. Důrazně doporučujeme použít přesnost milisekund.
- ID události Windows
- Název zprostředkovatele událostí Systému Windows
- Název protokolu událostí Systému Windows
- Název počítače, který událost přijímá, například řadič domény
- Jméno uživatele, který se ověřuje
- Název zdrojového hostitele
- Kód výsledku NTLM
Důležité
Pořadí polí je důležité a do zprávy by se nemělo zahrnout nic jiného.
MicroFocus ArcSight
Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem MicroFocus ArcSight:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
V této syntaxi:
Vaše zpráva musí splňovat definici protokolu.
Není zahrnuta žádná hlavička syslogu.
Část záhlaví oddělená kanálem (|) musí být zahrnuta, jak je uvedeno v protokolu.
V případě události musí být přítomny následující klíče v části Rozšíření :
Key Popis externalId ID události Windows Rt Časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem přijetí do SIEM nebo když je odeslána do Defenderu pro identitu. Nezapomeňte také použít přesnost milisekund. Kočka Název protokolu událostí Systému Windows shost Název zdrojového hostitele dhost Počítač, který událost přijímá, například řadič domény duser Uživatel, který ověřuje Pořadí není pro část Rozšíření důležité.
Pro následující pole musíte mít vlastní klíč a klíčLable :
EventSourceReason or Error Code= Kód výsledku NTLM
Splunk
Ke konfiguraci samostatného senzoru pro naslouchání událostem Splunk použijte následující syntaxi zprávy:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
V této syntaxi:
Hlavička syslogu je volitelná.
Mezi všemi povinnými
\r\npoli je oddělovač znaků. Jedná se oCRLFřídicí znaky (0D0Av šestnáctkovém) a ne literálové znaky.Pole jsou ve
key=valueformátu.Musí existovat následující klíče a mít hodnotu:
Název Popis EventCode ID události Windows Logfile Název protokolu událostí Systému Windows SourceName Název zprostředkovatele událostí Systému Windows TimeGenerated Časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem přijetí do SIEM nebo když je odeslána do Defenderu pro identitu. Formát časového razítka musí být The format should match yyyyMMddHHmmss.FFFFFFa musíte použít přesnost milisekund.ComputerName Název zdrojového hostitele Message Původní text události z události Windows Klíč zprávy a hodnota musí být poslední.
Pořadí není pro páry klíč=hodnota důležité.
Zobrazí se zpráva podobná následující:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar umožňuje shromažďování událostí prostřednictvím agenta. Pokud se data shromáždí pomocí agenta, shromáždí se formát času bez milisekundových dat.
Vzhledem k tomu, že Defender for Identity potřebuje data v milisekundách, musíte nejprve nakonfigurovat QRadar tak, aby používal kolekci událostí windows bez agentů. Další informace naleznete v tématu QRadar: Agentless Windows Events Collection using the MSRPC Protocol.
Ke konfiguraci samostatného senzoru pro naslouchání událostem QRadar použijte následující syntaxi zprávy:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
V této syntaxi musíte zahrnout následující pole:
- Typ agenta pro kolekci
- Název zprostředkovatele protokolu událostí Systému Windows
- Zdroj protokolu událostí Windows
- Plně kvalifikovaný název domény řadiče domény
- ID události Windows
TimeGenerated, což je časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem přijetí do SIEM nebo když je odeslána do Defenderu pro identitu. Formát časového razítka musí býtThe format should match yyyyMMddHHmmss.FFFFFFa musí mít přesnost milisekund.
Ujistěte se, že zpráva obsahuje původní text události z události Systému Windows a že máte \t mezi páry key=value.
Poznámka:
Použití WinCollect pro kolekci událostí Systému Windows se nepodporuje.
Související obsah
Další informace naleznete v tématu: