SIEM-események figyelése a Defender for Identity önálló érzékelőjén

  • Cikk

Ez a cikk a támogatott SIEM-eseménytípusok figyelésére szolgáló különálló Defender-érzékelő konfigurálásához szükséges üzenetszintaxisokat ismerteti. A SIEM-események figyelése az észlelési képességek növelésének egyik módszere a tartományvezérlő hálózatából nem elérhető további Windows-eseményekkel.

További információkért tekintse meg a Windows eseménygyűjteményének áttekintését.

Fontos

A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észleléshez biztosítják az adatokat. A környezet teljes körű lefedése érdekében javasoljuk a Defender for Identity érzékelő üzembe helyezését.

RSA Security Analytics

Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt az RSA Security Analytics-események figyelésére:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Ebben a szintaxisban:

  • A syslog fejléc nem kötelező.

  • A \n karakterelválasztó minden mező között kötelező.

  • A mezők sorrendje a következő:

    1. (Kötelező) RsaSA-állandó
    2. A tényleges esemény időbélyege. Győződjön meg arról, hogy nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi a Defender for Identitynek. Nagyon javasoljuk, hogy ezredmásodperc pontosságot használjon.
    3. A Windows eseményazonosítója
    4. A Windows eseményszolgáltatójának neve
    5. A Windows eseménynaplójának neve
    6. Az eseményt fogadó számítógép neve, például a tartományvezérlő
    7. A hitelesítést végző felhasználó neve
    8. A forrás gazdagép neve
    9. Az NTLM eredménykódja

Fontos

A mezők sorrendje fontos, és semmi más nem szerepelhet az üzenetben.

MicroFocus ArcSight

Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt a MicroFocus ArcSight-események figyelésére:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Ebben a szintaxisban:

  • Az üzenetnek meg kell felelnie a protokoll definíciójának.

  • Nincs benne syslog fejléc.

  • A csővel (|) elválasztott fejlécrészt bele kell foglalni a protokollban leírtak szerint

  • Az eseményben a bővítményrész következő kulcsainak kell szerepelnie:

    Kulcs Leírás
    externalId A Windows eseményazonosítója
    Rt A tényleges esemény időbélyege. Győződjön meg arról, hogy az érték nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi az identitáshoz készült Defendernek. Ügyeljen arra is, hogy ezredmásodperc pontosságot használjon.
    Macska A Windows eseménynaplójának neve
    shost A forrás gazdagép neve
    dhost Az eseményt fogadó számítógép, például a tartományvezérlő
    duser A felhasználó hitelesítése

    A sorrend nem fontos a bővítményrész esetében.

  • Az alábbi mezőkhöz egyéni kulccsal és keyLable-rel kell rendelkeznie:

    • EventSource
    • Reason or Error Code = Az NTLM eredménykódja

Splunk

Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt a Splunk-események figyelésére:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Ebben a szintaxisban:

  • A syslog fejléc nem kötelező.

  • Az összes szükséges mező között van egy \r\n karakterelválasztó. Ezek vezérlőkarakterek CRLF (0D0A hexában), nem pedig literális karakterek.

  • A mezők formátuma key=value .

  • A következő kulcsoknak létezniük kell, és értékük van:

    Name Leírás
    EventCode A Windows eseményazonosítója
    Logfile A Windows eseménynaplójának neve
    SourceName A Windows eseményszolgáltatójának neve
    TimeGenerated A tényleges esemény időbélyege. Győződjön meg arról, hogy az érték nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi az identitáshoz készült Defendernek. Az időbélyeg formátumának meg kell lennie The format should match yyyyMMddHHmmss.FFFFFF, és ezredmásodperc pontosságot kell használnia.
    ComputerName A forrás gazdagép neve
    Üzenet A Windows-esemény eredeti eseményszövege

  • Az üzenetkulcsnak és az értéknek utolsónak kell lennie.

  • A sorrend nem fontos a key=value párok esetében.

A következőhöz hasonló üzenet jelenik meg:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

A QRadar egy ügynökön keresztül engedélyezi az eseménygyűjtést. Ha az adatokat ügynök használatával gyűjti össze, az időformátum ezredmásodperc nélkül lesz összegyűjtve.

Mivel a Defender for Identitynek ezredmásodpercnyi adatra van szüksége, először konfigurálnia kell a QRadart ügynök nélküli Windows-eseménygyűjtemény használatára. További információ : QRadar: Ügynök nélküli Windows-eseménygyűjtemény az MSRPC protokoll használatával.

Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt a QRadar-események figyelésére:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Ebben a szintaxisban a következő mezőket kell tartalmaznia:

  • A gyűjtemény ügynöktípusa
  • A Windows eseménynapló-szolgáltatójának neve
  • A Windows eseménynaplójának forrása
  • A tartományvezérlő teljes tartományneve
  • A Windows eseményazonosítója
  • TimeGenerated, amely a tényleges esemény időbélyege. Győződjön meg arról, hogy az érték nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi az identitáshoz készült Defendernek. Az időbélyeg formátumának ezredmásodperc pontosságúnak kell lennie The format should match yyyyMMddHHmmss.FFFFFF.

Győződjön meg arról, hogy az üzenet tartalmazza a Windows-esemény eredeti eseményszövegét, és hogy a key=value párok között van \t .

Megjegyzés:

A WinCollect windowsos eseménycsoporthoz való használata nem támogatott.

Kapcsolódó tartalom

For more information, see: