לקריאה באנגלית

שתף באמצעות

האזן לאירועי SIEM בחיישנים העצמאיים של Defender for Identity

  • מאמר

מאמר זה מתאר את תחביר ההודעה הנדרש בעת קביעת תצורה של חיישן עצמאי של Defender for Identity להאזנה לסוגי אירועי SIEM נתמכים. האזנה לאירועי SIEM היא שיטה אחת לשיפור יכולות הזיהוי שלך עם אירועים נוספים של Windows שאינם זמינים מרשת בקר התחום.

לקבלת מידע נוסף, ראה מבט כולל על אוסף אירועים של Windows.

חשוב

חיישנים עצמאיים של Defender for Identity אינם תומכים באיסוף ערכי יומן רישום של מעקב אירועים עבור Windows (ETW) המספקים את הנתונים לאיתורים מרובים. לכיסוי מלא של הסביבה שלך, מומלץ לפרוס את חיישן Defender for Identity.

RSA Security Analytics

השתמש בתחביר ההודעה הבא כדי לקבוע את תצורת החיישן העצמאי שלך להאזנה לאירועי ניתוח אבטחה של RSA:

text 
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

בתחביר זה:

  • כותרת syslog היא אופציונלית.

  • מפריד \n התווים נדרש בין כל השדות.

  • השדות, לפי הסדר, הם:

    1. (נדרש) קבוע RsaSA
    2. חותמת הזמן של האירוע בפועל. ודא כי זו אינה חותמת הזמן של הגעתה ל- SIEM, או כאשר היא נשלחת אל Defender for Identity. אנו ממליצים מאוד להשתמש ברמת דיוק של אלפיות שניה.
    3. מזהה האירוע של Windows
    4. שם ספק האירועים של Windows
    5. שם יומן האירועים של Windows
    6. שם המחשב המקבל את האירוע, כגון בקר התחום
    7. שם המשתמש המ מאמת
    8. שם המחשב המארח המשמש כמקור
    9. קוד התוצאה של NTLM

חשוב

סדר השדות חשוב ושום דבר אחר אינו צריך להיכלל בהודעה.

MicroFocus ArcSight

השתמש בתחביר ההודעה הבא כדי לקבוע את תצורת החיישן העצמאי שלך להאזנה לאירועי MicroFocus ArcSight:

text 
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

בתחביר זה:

  • ההודעה שלך חייבת לציית להגדרת הפרוטוקול.

  • לא נכללת כותרת syslog.

  • יש לכלול את חלק הכותרת, המופרד באמצעות Pipe (|), כפי שצוין בפרוטוקול

  • המפתחות הבאים בחלק ' הרחבה' חייבים להיות קיימים באירוע:

    מפתח תיאור
    מזהה חיצוני מזהה האירוע של Windows
    rt חותמת הזמן של האירוע בפועל. ודא שהערך אינו חותמת הזמן של הגעתה ל- SIEM, או כאשר היא נשלחת אל Defender for Identity. כמו כן, הקפד להשתמש בדיוק של אלפיות שניה.
    חתול שם יומן האירועים של Windows
    shost שם המחשב המארח המשמש כמקור
    dhost המחשב המקבל את האירוע, כגון בקר התחום
    צמד המשתמש מאמת

    ההזמנה אינה חשובה עבור החלק 'הרחבה '.

  • דרוש לך מפתח מותאם אישית וניתן למקשים עבור השדות הבאים:

    • EventSource
    • Reason or Error Code = קוד התוצאה של NTLM

תיל משוכפל

השתמש בתחביר ההודעה הבא כדי לקבוע את תצורת החיישן העצמאי שלך להאזנה לאירועי Splunk:

text 
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

בתחביר זה:

  • כותרת syslog היא אופציונלית.

  • קיים מפריד תווים \r\n בין כל השדות הנדרשים. אלה הם CRLF תווי בקרה, (0D0A במשושה), ולא תווים ליטרליים.

  • השדות הם בתבנית key=value .

  • המפתחות הבאים חייבים להיות קיימים ולכלול ערך:

    Name תיאור
    קוד אירוע מזהה האירוע של Windows
    Logfile שם יומן האירועים של Windows
    שם מקור שם ספק האירועים של Windows
    זמן - מדורג חותמת הזמן של האירוע בפועל. ודא שהערך אינו חותמת הזמן של הגעתה ל- SIEM, או כאשר היא נשלחת אל Defender for Identity. תבנית חותמת הזמן חייבת להיות The format should match yyyyMMddHHmmss.FFFFFF, ועליך להשתמש בדיוק של אלפיות השניה.
    שם מחשב שם המחשב המארח המשמש כמקור
    הודעה טקסט האירוע המקורי מהאירוע של Windows

  • מפתח ההודעה והערך חייבים להיות אחרון.

  • הסדר אינו חשוב עבור זוגות המפתח=הערך.

הודעה דומה להודעה הבאה מופיעה:

Bash 
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar מאפשר איסוף אירועים באמצעות סוכן. אם הנתונים נאספים באמצעות סוכן, תבנית השעה נאספת ללא נתונים של אלפיות שניה.

מאחר ש- Defender for Identity זקוק לנתונים של אלפיות שניה, עליך להגדיר תחילה את QRadar לשימוש באוסף אירועים של Windows ללא סוכן. לקבלת מידע נוסף, ראה QRadar: אוסף אירועי Windows ללא סוכן באמצעות פרוטוקול MSRPC.

השתמש בתחביר ההודעה הבא כדי לקבוע את תצורת החיישן העצמאי שלך להאזנה לאירועי QRadar:

text 
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

בתחביר זה, עליך לכלול את השדות הבאים:

  • סוג הסוכן עבור האוסף
  • שם ספק יומן האירועים של Windows
  • מקור יומן האירועים של Windows
  • שם התחום המלא של DC
  • מזהה האירוע של Windows
  • TimeGenerated, שהוא חותמת הזמן של האירוע בפועל. ודא שהערך אינו חותמת הזמן של הגעתה ל- SIEM, או כאשר היא נשלחת אל Defender for Identity. תבנית חותמת הזמן חייבת להיות The format should match yyyyMMddHHmmss.FFFFFF, ועליה להיות מדויקת של אלפיות השניה.

ודא שההודעה כוללת את טקסט האירוע המקורי מהאירוע של Windows, \t ושכוללת בין זוגות המפתח=הערך.

הערה

אין תמיכה בשימוש באוסף האירועים WinCollect עבור Windows.

תוכן קשור

לקבלת מידע נוסף, ראה: