Sdílet prostřednictvím

Instalace ATA – krok 6

  • Článek

Platí pro: Advanced Threat Analytics verze 1.9

« Krok 5Krok 7 »

Krok 6: Konfigurace shromažďování událostí

Konfigurace shromažďování událostí

K vylepšení možností detekce potřebuje ATA následující události Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757 a 7045. Tyto události Windows buď automaticky čtou ATA Lightweight Gateway, nebo v případě, že ATA Lightweight Gateway není nasazená, je možné je předat ata Gateway jedním ze dvou způsobů, a to buď konfigurací ATA Gateway tak, aby naslouchala událostem SIEM, nebo konfigurací předávání událostí systému Windows.

Poznámka:

Pro ATA verze 1.8 a vyšší už není konfigurace shromažďování událostí Windows pro ATA Lightweight Gateway nutná. ATA Lightweight Gateway teď čte události místně, aniž by bylo nutné konfigurovat předávání událostí.

Kromě shromažďování a analýzy síťového provozu do a z řadičů domény může ATA používat události Windows k dalšímu vylepšení detekcí. Používá událost 4776 pro NTLM, která vylepšuje různé detekce a události 4732, 4733, 4728, 4729, 4756 a 4757 pro zvýšení detekce úprav citlivých skupin. Můžete ho přijímat ze systému SIEM nebo nastavením předávání událostí systému Windows z řadiče domény. Shromážděné události poskytují ATA další informace, které nejsou dostupné prostřednictvím síťového provozu řadiče domény.

SIEM/Syslog

Aby ATA mohla využívat data ze serveru Syslog, musíte provést následující kroky:

  • Nakonfigurujte servery ATA Gateway tak, aby naslouchaly a přijímaly události předávané ze serveru SIEM/Syslog.

Poznámka:

ATA naslouchá jenom na IPv4 a ne na IPv6.

  • Nakonfigurujte server SIEM/Syslog tak, aby předával konkrétní události ata Gateway.

Důležité

  • Nepřesměrovávat všechna data syslogu do ATA Gateway.
  • ATA podporuje provoz UDP ze serveru SIEM/Syslog.

Informace o konfiguraci předávání konkrétních událostí na jiný server najdete v dokumentaci k produktu serveru SIEM/Syslog.

Poznámka:

Pokud nepoužíváte server SIEM/Syslog, můžete nakonfigurovat řadiče domény Windows tak, aby předávaly id události Windows 4776, aby se shromáždily a analyzovaly ata. Windows Event ID 4776 poskytuje data týkající se ověřování NTLM.

Konfigurace ATA Gateway pro naslouchání událostem SIEM

  1. V konfiguraci ATA klikněte v části Zdroje dat na SIEM a zapněte Syslog a klikněte na Uložit.

    Enable syslog listener UDP image.

  2. Nakonfigurujte server SIEM nebo Syslog tak, aby předával událost systému Windows s ID 4776 na IP adresu některé z ATA Gateway. Další informace o konfiguraci SIEM najdete v online nápovědě k SIEM nebo možnostech technické podpory pro konkrétní požadavky na formátování jednotlivých serverů SIEM.

ATA podporuje události SIEM v následujících formátech:

Analýza zabezpečení RSA

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • Hlavička Syslogu je volitelná.

  • Oddělovač znaků \n je povinný mezi všemi poli.

  • Pole v pořadí jsou:

    1. Konstanta RsaSA (musí se zobrazit).
    2. Časové razítko skutečné události (ujistěte se, že se nejedná o časové razítko přijetí do EM nebo odeslání do ATA). Pokud možno v milisekundách přesnosti, je to důležité.
    3. ID události Windows
    4. Název zprostředkovatele událostí Systému Windows
    5. Název protokolu událostí Systému Windows
    6. Název počítače, který událost přijímá (v tomto případě řadič domény)
    7. Jméno uživatele, který se ověřuje
    8. Název zdrojového hostitele
    9. Kód výsledku NTLM

  • Pořadí je důležité a do zprávy by se nemělo zahrnout nic jiného.

MicroFocus ArcSight

CEF:0|Microsoft |Microsoft Windows||Auditování zabezpečení systému Microsoft-Windows:4776|Řadič domény se pokusil ověřit přihlašovací údaje pro účet.|Nízká| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • Musí být v souladu s definicí protokolu.

  • Žádná hlavička syslogu.

  • Část záhlaví (část oddělená kanálem) musí existovat (jak je uvedeno v protokolu).

  • V případě události musí být přítomny následující klíče v části Rozšíření :

    • externalId = ID události Systému Windows
    • rt = časové razítko skutečné události (ujistěte se, že se nejedná o časové razítko přijetí do SIEM nebo odeslání do ATA). Pokud možno v milisekundách přesnosti, je to důležité.
    • cat = název protokolu událostí systému Windows
    • shost = název zdrojového hostitele
    • dhost = počítač přijímající událost (v tomto případě řadič domény)
    • duser = uživatel ověřující

  • Pořadí není pro část Rozšíření důležité.

  • Pro tato dvě pole musí existovat vlastní klíč a klíčLable:

    • "EventSource"
    • "Důvod nebo kód chyby" = kód výsledku NTLM

Splunk

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Počítač se pokusil ověřit přihlašovací údaje pro účet.

Ověřovací balíček: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Přihlašovací účet: Správa istrator

Zdrojová pracovní stanice: SIEM

Kód chyby: 0x0

  • Hlavička Syslogu je volitelná.

  • Mezi všemi požadovanými poli je oddělovač znaků \r\n. Všimněte si, že se jedná o řídicí znaky CRLF (0D0A v šestnáctkovém) a ne literálové znaky.

  • Pole jsou ve formátu key=value.

  • Musí existovat následující klíče a mít hodnotu:

    • EventCode = ID události Systému Windows
    • Logfile = název protokolu událostí systému Windows
    • SourceName = Název zprostředkovatele událostí Windows
    • TimeGenerated = časové razítko skutečné události (ujistěte se, že se nejedná o časové razítko příchodu do SIEM nebo odeslání do ATA). Formát by měl odpovídat yyyyMMddHHmmss.FFFFFF, nejlépe v milisekundách přesnosti, je to důležité.
    • Název počítače = název zdrojového hostitele
    • Message = původní text události z události Windows

  • Klíč zprávy a hodnota musí být poslední.

  • Pořadí není důležité pro páry klíč=hodnota.

QRadar

QRadar umožňuje shromažďování událostí prostřednictvím agenta. Pokud se data shromáždí pomocí agenta, shromáždí se formát času bez milisekundových dat. Vzhledem k tomu, že ATA vyžaduje milisekundová data, je nutné nastavit QRadar tak, aby používala shromažďování událostí windows bez agentů. Další informace naleznete v tématu QRadar: Agentless Windows Events Collection using the MSRPC Protocol.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Potřebná pole:

  • Typ agenta pro kolekci

  • Název zprostředkovatele protokolu událostí Systému Windows

  • Zdroj protokolu událostí Windows

  • Plně kvalifikovaný název domény řadiče domény

  • ID události Windows

TimeGenerated je časové razítko skutečné události (ujistěte se, že se nejedná o časové razítko příjezdu do SIEM nebo odeslání do ATA). Formát by měl odpovídat yyyyMMddHHmmss.FFFFFF, nejlépe v milisekundách přesnosti, je to důležité.

Zpráva je původní text události z události systému Windows.

Ujistěte se, že mezi páry key=value je \t.

Poznámka:

Použití WinCollect pro kolekci událostí Systému Windows se nepodporuje.

« Krok 5Krok 7 »

Viz také