Überwachen von SIEM-Ereignissen auf Ihrem eigenständigen Defender for Identity-Sensor
Dieser Artikel beschreibt die Syntax der Pflichtnachricht, wenn Sie einen Defender for Identity-Einzelsensor so konfigurieren, dass er auf unterstützte SIEM-Ereignistypen hört. Das Abhören von SIEM-Ereignissen ist eine Methode, um Ihre Erkennungsfähigkeiten mit zusätzlichen Windows-Ereignissen zu verbessern, die nicht über das Netzwerk des Domänencontrollers verfügbar sind.
Weitere Informationen finden Sie in der Übersicht über die Windows-Ereignissammlung.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.
RSA-Sicherheitsanalysen
Verwenden Sie die folgende Nachrichtensyntax, um Ihren eigenständigen Sensor so zu konfigurieren, dass er auf RSA Security Analytics-Ereignisse lauscht:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
In dieser Syntax:
Der Syslog-Header ist optional.
Das Zeichentrennzeichen
\n
ist zwischen allen Feldern erforderlich.Die Felder sind, in der Reihenfolge, folgende:
- (Erforderlich) RsaSA-Konstante
- Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es nicht der Zeitstempel des Eingangs im SIEM ist oder wenn sie an Defender for Identity gesendet wird. Es wird dringend empfohlen, eine Genauigkeit von Millisekunden zu verwenden.
- Die Windows-Ereignis-ID
- Der Name des Windows-Ereignisanbieters
- Der Name des Windows-Ereignisprotokolls
- Der Name des Computers, der das Ereignis empfängt, z. B. der Domänencontroller
- Der Name des Benutzers, der authentifiziert wird
- Der Name des Quell-Hostnamens
- Der Ergebniscode der NTLM
Wichtig
Die Reihenfolge der Felder ist wichtig, und nichts anderes sollte in die Nachricht einbezogen werden.
MicroFocus ArcSight
Verwenden Sie die folgende Meldungssyntax, um ihren eigenständigen Sensor so zu konfigurieren, dass er auf MicroFocus ArcSight-Ereignisse lauscht:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
In dieser Syntax:
Ihre Nachricht muss der Protokolldefinition entsprechen.
Es ist kein Syslog-Header enthalten.
Der Kopfzeilenteil, getrennt durch ein Rohr (|) muss enthalten sein, wie im Protokoll angegeben
Die folgenden Schlüssel im Erweiterungsteil müssen im Ereignis vorhanden sein:
Schlüssel Beschreibung externalId Die Windows-Ereignis-ID rt Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich bei dem Wert nicht um den Zeitstempel des Eingangs im SIEM handelt oder um den Zeitpunkt, zu dem die Daten zur Identifizierung an Defender gesendet wurden. Stellen Sie außerdem sicher, dass Sie eine Genauigkeit von Millisekunden verwenden. cat Der Name des Windows-Ereignisprotokolls shost Der Name des Quellhosts dhost Der Computer, der das Ereignis empfängt, z. B. der Domänencontroller duser Der Benutzer wird authentifiziert Die Bestellung ist für den Erweiterungsteil nicht wichtig.
Sie müssen über einen benutzerdefinierten Schlüssel und keyLable für die folgenden Felder verfügen:
EventSource
Reason or Error Code
= Der Ergebniscode der NTLM
Splunk
Verwenden Sie die folgende Meldungssyntax, um ihren eigenständigen Sensor so zu konfigurieren, dass er auf Splunk-Ereignisse lauscht:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
In dieser Syntax:
Der Syslog-Header ist optional.
Es gibt ein
\r\n
Zeichentrennzeichen zwischen allen erforderlichen Feldern. Es handelt sich umCRLF
-Steuerzeichen (0D0A
in hex) und nicht um Buchstaben.Die Felder sind im
key=value
Format.Die folgenden Schlüssel müssen vorhanden sein und einen Wert aufweisen:
Name Beschreibung EventCode Die Windows-Ereignis-ID Protokolldatei Der Name des Windows-Ereignisprotokolls SourceName Der Name des Windows-Ereignisanbieters TimeGenerated Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich bei dem Wert nicht um den Zeitstempel des Eingangs im SIEM handelt oder um den Zeitpunkt, zu dem die Daten zur Identifizierung an Defender gesendet wurden. Das Zeitstempelformat muss The format should match yyyyMMddHHmmss.FFFFFF
sein und Sie müssen eine Genauigkeit von Millisekunden verwenden.ComputerName Der Name des Quellhosts Meldung Der ursprüngliche Ereignistext aus dem Windows-Ereignis Der Nachrichtenschlüssel und der Wert müssen zuletzt sein.
Die Reihenfolge ist für die Schlüssel-Wert-Paare nicht wichtig.
Eine der folgenden ähnelnde Meldung wird angezeigt:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar ermöglicht die Ereignissammlung über einen Agent. Wenn die Daten mithilfe eines Agents gesammelt werden, wird das Zeitformat ohne Millisekundendaten erfasst.
Da Defender for Identity Millisekundendaten benötigt, müssen Sie zuerst QRadar für die Verwendung der agentlosen Windows-Ereignissammlung konfigurieren. Weitere Informationen finden Sie unter QRadar: Agentless Windows Events Collection using the MSRPC Protocol.
Verwenden Sie die folgende Nachrichtensyntax, um ihren eigenständigen Sensor so zu konfigurieren, dass er auf QRadar-Ereignisse lauscht:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
In dieser Syntax müssen Sie die folgenden Felder einschließen:
- Der Agententyp für die Sammlung
- Der Name des Windows-Ereignisprotokollanbieters
- Die Windows-Ereignisprotokollquelle
- Der vollqualifizierte DNS-Domänenname
- Die Windows-Ereignis-ID
TimeGenerated
, also der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich bei dem Wert nicht um den Zeitstempel des Eingangs im SIEM handelt oder um den Zeitpunkt, zu dem die Daten zur Identifizierung an Defender gesendet wurden. Das Zeitstempelformat mussThe format should match yyyyMMddHHmmss.FFFFFF
sein und eine Genauigkeit von Millisekunden haben.
Stellen Sie sicher, dass die Nachricht den ursprünglichen Ereignistext aus dem Windows-Ereignis und zwischen \t
den Schlüssel-Wert-Paaren enthält.
Hinweis
Die Verwendung von WinCollect für Windows-Ereignissammlung wird nicht unterstützt.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: