Configurer la collecte d’événements

Pour améliorer les fonctionnalités de détection, Microsoft Defender pour Identity a besoin des événements Windows répertoriés dans Configurer la collection d’événements. Ces événements peuvent être lus automatiquement par le capteur Defender pour Identity ou, si le capteur Defender pour Identity n’est pas déployé, il peut être transféré au capteur autonome Defender pour Identity de l’une des deux façons, en configurant le capteur autonome Defender pour Identity pour écouter les événements SIEM ou en configurant le transfert d’événements Windows.

Notes

  • Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

En plus de collecter et d’analyser le trafic réseau vers et depuis les contrôleurs de domaine, Defender pour Identity peut utiliser des événements Windows pour améliorer davantage les détections. Vous pouvez recevoir ces événements à partir de votre serveur SIEM ou définir le transfert d’événements Windows à partir de votre contrôleur de domaine. Les événements collectés fournissent à Defender pour Identity des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.

SIEM/Syslog

Les capteurs autonomes Defender pour Identity sont configurés par défaut pour recevoir des données Syslog. Pour que les capteurs autonomes Defender pour Identity puissent consommer ces données, vous devez transférer vos données Syslog au capteur.

Notes

Defender pour Identity écoute uniquement sur IPv4 et non sur IPv6.

Important

  • Ne transférez pas toutes les données Syslog au capteur Defender pour Identity.
  • Defender pour Identity prend en charge le trafic UDP à partir du serveur SIEM/Syslog.

Pour plus d’informations sur la façon de configurer le transfert d’événements spécifiques vers un autre serveur, consultez la documentation produit de votre serveur SIEM/Syslog.

Notes

Si vous n’utilisez pas de serveur SIEM/Syslog, vous pouvez configurer vos contrôleurs de domaine Windows pour transférer tous les événements requis à collecter et analyser par Defender pour Identity.

Configuration du capteur Defender pour Identity pour écouter les événements SIEM

  • Configurez votre serveur SIEM ou Syslog pour transférer tous les événements requis à l’adresse IP de l’un des capteurs autonomes Defender pour Identity. Pour plus d’informations sur la configuration de votre serveur SIEM, consultez l’aide en ligne de SIEM ou explorez les options de support technique à votre disposition pour obtenir les formats à respecter pour chaque serveur SIEM.

Defender pour Identity prend en charge les événements SIEM dans les formats suivants :

RSA Security Analytics

<En-tête Syslog>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • L’en-tête syslog est facultatif.

  • Le séparateur de caractère « \n » est obligatoire entre tous les champs.

  • Les champs, dans l’ordre, sont les suivants :

    1. Constante RsaSA (doit être indiquée).
    2. Horodatage de l’événement réel (vérifiez qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à Defender pour Identity). De préférence avec une précision de l’ordre de la milliseconde (ceci est important).
    3. ID de l’événement Windows
    4. Nom du fournisseur d’événements Windows
    5. Nom du journal des événements Windows
    6. Nom de l’ordinateur recevant l’événement (ici, le contrôleur de domaine).
    7. Nom de l’utilisateur qui s’authentifie.
    8. Nom de l’hôte source.
    9. Code de résultat de NTLM.
  • L’ordre est important, et rien d’autre ne doit figurer dans le message.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • Doit être conforme à la définition du protocole.

  • Aucun en-tête syslog.

  • La partie en-tête, séparée par une barre verticale, doit exister (comme indiqué dans le protocole).

  • Les clés suivantes dans la partie Extension doivent être présentes dans l’événement :

    • externalId = ID de l’événement Windows.
    • rt = horodatage de l’événement réel (assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à Defender pour Identity). De préférence avec une précision de l’ordre de la milliseconde (ceci est important).
    • cat = nom du journal des événements Windows.
    • shost = nom de l’hôte source.
    • dhost = nom de l’ordinateur recevant l’événement (ici, le contrôleur de domaine).
    • duser = utilisateur qui s’authentifie.
  • L’ordre de la partie Extension n’est pas important.

  • Vous devez avoir une clé personnalisée et un libellé dé clé pour les deux champs suivants :

    • « EventSource »
    • « Reason or Error Code » = code de résultat de NTLM

Splunk

<En-tête Syslog>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

L’ordinateur a tenté de valider les informations d’identification d’un compte.

Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Compte d’ouverture de session : Administrateur

Station de travail source : SIEM

Code d’erreur : 0x0

  • L’en-tête syslog est facultatif.

  • Le séparateur de caractère « \r\n » est utilisé entre tous les champs obligatoires. Notez qu’il s’agit des caractères de contrôle CRLF (0D0A au format hexadécimal) et non des caractères littéraux.

  • Les champs sont au format clé = valeur.

  • Les clés suivantes doivent exister et avoir une valeur :

    • EventCode = ID de l’événement Windows.
    • Logfile = nom du journal des événements Windows.
    • SourceName = nom du fournisseur d’événements Windows.
    • TimeGenerated = horodatage de l’événement réel (assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à Defender pour Identity). Le format doit être aaaaMMjjHHmmss.FFFFFF, avec de préférence une précision de l’ordre de la milliseconde (ceci est important).
    • ComputerName = nom de l’hôte source.
    • Message = texte de l’événement Windows d’origine.
  • La clé et la valeur du message DOIVENT figurer en dernier.

  • L’ordre n’est pas important pour les paires clé=valeur.

QRadar

QRadar permet la collecte d’événements par le biais d’un agent. Si les données sont recueillies au moyen d’un agent, le format de l’heure est collecté sans les données des millisecondes. Étant donné que Defender pour Identity nécessite des données en millisecondes, il est nécessaire de définir QRadar pour utiliser la collection d’événements Windows sans agent. Pour plus d’informations, consultez https://www-01.ibm.com/support/docview.wss?uid=swg21700170 MSRPC.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Les champs requis sont les suivants :

  • Type d’agent pour la collecte

  • Nom du fournisseur de journaux des événements Windows

  • Source du journal des événements Windows

  • Nom de domaine complet du contrôleur de domaine

  • ID de l’événement Windows

TimeGenerated est l’horodatage de l’événement réel (assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à Defender pour Identity). Le format doit être aaaaMMjjHHmmss.FFFFFF, avec de préférence une précision de l’ordre de la milliseconde (ceci est important).

Message représente le texte de l’événement Windows d’origine.

Assurez-vous que \t sépare les paires clé/valeur.

Notes

Utiliser WinCollect pour la collecte des événements Windows n’est pas pris en charge.

Voir aussi