Escucha de eventos SIEM en el sensor independiente de Defender for Identity

  • Artículo

En este artículo se describe la sintaxis de mensaje necesaria al configurar un sensor independiente de Defender for Identity para escuchar los tipos de eventos SIEM admitidos. Escuchar eventos SIEM es un método para mejorar las capacidades de detección con eventos adicionales de Windows que no están disponibles en la red del controlador de dominio.

Para obtener más información, consulte Introducción a la recopilación de eventos de Windows.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

Análisis de seguridad RSA

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

En esta sintaxis:

  • El encabezado syslog es opcional.

  • Se requiere el separador de caracteres \n entre todos los campos.

  • Los campos, en orden, son:

    1. (Requerido) Constante RsaSA
    2. La marca de tiempo del evento actual. Asegúrese de que no es la marca de tiempo de la llegada al SIEM o del envío a Defender for Identity. Es altamente recomendable usar una precisión de milisegundos.
    3. Identificador de evento de Windows
    4. Nombre del proveedor de eventos de Windows
    5. Nombre del registro de eventos de Windows
    6. Nombre del equipo que recibe el evento, como el controlador de dominio
    7. Nombre de la autenticación del usuario
    8. Nombre del nombre de host de origen
    9. Código de resultado de NTLM

Importante

El orden de los campos es importante y nada más debe incluirse en el mensaje.

MicroFocus ArcSight

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

En esta sintaxis:

  • Su mensaje debe cumplir con la definición del protocolo.

  • No se incluye ningún encabezado syslog.

  • La parte de encabezado, separada por una canalización (|) debe incluirse, como se indica en el protocolo.

  • Las siguientes claves de la parte Extensión deben estar presentes en el evento:

    Clave Descripción
    externalId Identificador de evento de Windows
    rt La marca de tiempo del evento actual. Asegúrese de que el valor no sea la marca de tiempo de la llegada al SIEM o del envío a Defender for Identity. Asegúrese también de usar una precisión de milisegundos.
    cat Nombre del registro de eventos de Windows
    shost El nombre de host de origen
    dhost El equipo que recibe el evento, como el controlador de dominio
    duser El usuario autentifica

    El orden no es importante para la parte Extensión.

  • Debe tener una clave personalizada y una clkeyLable para los siguientes campos:

    • EventSource
    • Reason or Error Code = Código de resultado de NTLM

Splunk

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

En esta sintaxis:

  • El encabezado syslog es opcional.

  • Hay un separador de caracteres \r\n entre todos los campos obligatorios. Estos son los caracteres de control CRLF (0D0A en hexadecimal) y no los caracteres literales.

  • Los campos están en formato key=value.

  • Las claves siguientes deben existir y tener un valor:

    Nombre Descripción
    EventCode Identificador de evento de Windows
    Logfile Nombre del registro de eventos de Windows
    SourceName Nombre del proveedor de eventos de Windows
    TimeGenerated La marca de tiempo del evento actual. Asegúrese de que el valor no sea la marca de tiempo de la llegada al SIEM o del envío a Defender for Identity. El formato de marca de tiempo debe ser The format should match yyyyMMddHHmmss.FFFFFF y debe usar una precisión de milisegundos.
    nombreDeEquipo El nombre de host de origen
    Mensaje Texto del evento original del evento de Windows

  • La Clave del mensaje y el valor deben ser últimos.

  • El orden no es importante para los pares clave=valor.

Aparece un mensaje similar al siguiente:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar habilita la recopilación de eventos a través de un agente. Si los datos se recopilan mediante un agente, el formato de hora se recopila sin datos de milisegundos.

Dado que Defender for Identity necesita datos milisegundos, primero debe configurar QRadar para usar la recopilación de eventos de Windows sin agente. Para obtener más información, consulte QRadar: Colección de eventos de Windows sin agente mediante el protocolo MSRPC.

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

En esta sintaxis, debe incluir los siguientes campos:

  • El tipo de agente para la colección
  • El nombre del proveedor del registro de eventos de Windows
  • El origen del registro de eventos de Windows
  • El nombre DC del dominio completo
  • Identificador de evento de Windows
  • TimeGenerated, que es la marca de tiempo del evento actual. Asegúrese de que el valor no sea la marca de tiempo de la llegada al SIEM o del envío a Defender for Identity. El formato de marca de tiempo debe ser The format should match yyyyMMddHHmmss.FFFFFF, y debe usar una precisión de milisegundos.

Asegúrese de que el mensaje incluya el texto del evento original del evento de Windows y tenga \t entre los pares clave=valor.

Nota:

No se admite el uso de WinCollect para la recopilación de eventos de Windows.

Contenido relacionado

Para más información, vea: