Écouter les événements SIEM sur votre capteur autonome Defender pour Identity

Cet article décrit la syntaxe de message requise lors de la configuration d’un capteur autonome Defender pour Identity pour écouter les types d’événements SIEM pris en charge. L’écoute des événements SIEM est une méthode permettant d’améliorer vos capacités de détection avec des événements Windows supplémentaires qui ne sont pas disponibles à partir du réseau du contrôleur de domaine.

Pour plus d’informations, consultez la vue d’ensemble de la collecte d’événements Windows.

Important

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Analytique de sécurité RSA

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome pour écouter les événements RSA Security Analytics :

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Dans cette syntaxe :

• L’en-tête syslog est facultatif.

• Le \n séparateur de caractères est requis entre tous les champs.

• Les champs, dans l’ordre, sont les suivants :

  1. (Obligatoire) Constante RsaSA
  2. Horodatage de l’événement réel. Assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM, ou lorsqu’il est envoyé à Defender pour Identity. Nous vous recommandons vivement d’utiliser une précision de millisecondes.
  3. ID d’événement Windows
  4. Nom du fournisseur d’événements Windows
  5. Nom du journal des événements Windows
  6. Nom de l’ordinateur recevant l’événement, tel que le contrôleur de domaine
  7. Nom de l’authentification de l’utilisateur
  8. Nom du nom d'hôte source
  9. Code résultat de la NTLM

Important

L’ordre des champs est important et rien d’autre ne doit être inclus dans le message.

MicroFocus ArcSight

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome pour écouter les événements MicroFocus ArcSight :

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Dans cette syntaxe :

• Votre message doit se conformer à la définition du protocole.

• Aucun en-tête syslog n’est inclus.

• La partie d’en-tête, séparée par un canal (|) doit être incluse, comme indiqué dans le protocole

• Les clés suivantes dans la partie Extension doivent être présentes dans l’événement :

  Clé	Description
  externalId	ID d’événement Windows
  Rt	Horodatage de l’événement réel. Assurez-vous que la valeur n’est pas l’horodatage de l’arrivée au SIEM, ou lorsqu’elle est envoyée à Defender pour Identity. Veillez également à utiliser une précision de millisecondes.
  cat	Nom du journal des événements Windows
  shost	Nom d’hôte source
  dhost	Ordinateur recevant l’événement, tel que le contrôleur de domaine
  duser	Authentification de l’utilisateur

  L’ordre n’est pas important pour la partie Extension .

• Vous devez disposer d’une clé personnalisée et d’une cléLable pour les champs suivants :

  • EventSource
  • Reason or Error Code = Code de résultat de la NTLM

Splunk

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome pour écouter les événements Splunk :

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Dans cette syntaxe :

• L’en-tête syslog est facultatif.

• Il existe un \r\n séparateur de caractères entre tous les champs obligatoires. Il s’agit de CRLF caractères de contrôle (0D0A en hexadécimal) et non de caractères littérals.

• Les champs sont au key=value format.

• Les clés suivantes doivent exister et avoir une valeur :

  Nom	Description
  EventCode	ID d’événement Windows
  Logfile	Nom du journal des événements Windows
  SourceName	Nom du fournisseur d’événements Windows
  TimeGenerated	Horodatage de l’événement réel. Assurez-vous que la valeur n’est pas l’horodatage de l’arrivée au SIEM, ou lorsqu’elle est envoyée à Defender pour Identity. Le format d’horodatage doit être The format should match yyyyMMddHHmmss.FFFFFF, et vous devez utiliser une précision de millisecondes.
  ComputerName	Nom d’hôte source
  Message	Texte d’événement d’origine de l’événement Windows

• La clé et la valeur du message doivent être les dernières.

• L’ordre n’est pas important pour les paires key=value.

Un message similaire à ce qui suit s’affiche :

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar permet la collecte d'événements via un agent. Si les données sont collectées à l'aide d'un agent, le format horaire est collecté sans les données relatives aux millisecondes.

Étant donné que Defender pour Identity a besoin de données en millisecondes, vous devez d’abord configurer QRadar pour utiliser la collection d’événements Windows sans agent. Pour plus d’informations, consultez QRadar : Collection d’événements Windows sans agent à l’aide du protocole MSRPC.

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome pour écouter les événements QRadar :

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Dans cette syntaxe, vous devez inclure les champs suivants :

• Type d’agent de la collection
• Nom du module fournisseur d’informations des événements Windows
• Source du journal des événements Windows
• Nom de domaine complet du contexte de périphérique
• ID d’événement Windows
• TimeGenerated, qui est l’horodatage de l’événement réel. Assurez-vous que la valeur n’est pas l’horodatage de l’arrivée au SIEM, ou lorsqu’elle est envoyée à Defender pour Identity. Le format d’horodatage doit être The format should match yyyyMMddHHmmss.FFFFFF, et doit avoir une précision de millisecondes.

Assurez-vous que le message inclut le texte d’événement d’origine de l’événement Windows et que vous disposez \t entre les paires key=value.

Remarque

L'utilisation de WinCollect pour la collecte d'événements Windows n'est pas prise en charge.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :

• Configurer la mise en miroir des ports
• Configurer le transfert d’événements Windows vers votre capteur autonome Defender pour Identity