SIEM-események figyelése a Defender for Identity önálló érzékelőjén
Ez a cikk a támogatott SIEM-eseménytípusok figyelésére szolgáló különálló Defender-érzékelő konfigurálásához szükséges üzenetszintaxisokat ismerteti. A SIEM-események figyelése az észlelési képességek növelésének egyik módszere a tartományvezérlő hálózatából nem elérhető további Windows-eseményekkel.
További információkért tekintse meg a Windows eseménygyűjteményének áttekintését.
Fontos
A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észleléshez biztosítják az adatokat. A környezet teljes körű lefedése érdekében javasoljuk a Defender for Identity érzékelő üzembe helyezését.
RSA Security Analytics
Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt az RSA Security Analytics-események figyelésére:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
Ebben a szintaxisban:
A syslog fejléc nem kötelező.
A
\n
karakterelválasztó minden mező között kötelező.A mezők sorrendje a következő:
- (Kötelező) RsaSA-állandó
- A tényleges esemény időbélyege. Győződjön meg arról, hogy nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi a Defender for Identitynek. Nagyon javasoljuk, hogy ezredmásodperc pontosságot használjon.
- A Windows eseményazonosítója
- A Windows eseményszolgáltatójának neve
- A Windows eseménynaplójának neve
- Az eseményt fogadó számítógép neve, például a tartományvezérlő
- A hitelesítést végző felhasználó neve
- A forrás gazdagép neve
- Az NTLM eredménykódja
Fontos
A mezők sorrendje fontos, és semmi más nem szerepelhet az üzenetben.
MicroFocus ArcSight
Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt a MicroFocus ArcSight-események figyelésére:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Ebben a szintaxisban:
Az üzenetnek meg kell felelnie a protokoll definíciójának.
Nincs benne syslog fejléc.
A csővel (|) elválasztott fejlécrészt bele kell foglalni a protokollban leírtak szerint
Az eseményben a bővítményrész következő kulcsainak kell szerepelnie:
Kulcs Leírás externalId A Windows eseményazonosítója Rt A tényleges esemény időbélyege. Győződjön meg arról, hogy az érték nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi az identitáshoz készült Defendernek. Ügyeljen arra is, hogy ezredmásodperc pontosságot használjon. Macska A Windows eseménynaplójának neve shost A forrás gazdagép neve dhost Az eseményt fogadó számítógép, például a tartományvezérlő duser A felhasználó hitelesítése A sorrend nem fontos a bővítményrész esetében.
Az alábbi mezőkhöz egyéni kulccsal és keyLable-rel kell rendelkeznie:
EventSource
Reason or Error Code
= Az NTLM eredménykódja
Splunk
Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt a Splunk-események figyelésére:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
Ebben a szintaxisban:
A syslog fejléc nem kötelező.
Az összes szükséges mező között van egy
\r\n
karakterelválasztó. Ezek vezérlőkarakterekCRLF
(0D0A
hexában), nem pedig literális karakterek.A mezők formátuma
key=value
.A következő kulcsoknak létezniük kell, és értékük van:
Name Leírás EventCode A Windows eseményazonosítója Logfile A Windows eseménynaplójának neve SourceName A Windows eseményszolgáltatójának neve TimeGenerated A tényleges esemény időbélyege. Győződjön meg arról, hogy az érték nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi az identitáshoz készült Defendernek. Az időbélyeg formátumának meg kell lennie The format should match yyyyMMddHHmmss.FFFFFF
, és ezredmásodperc pontosságot kell használnia.ComputerName A forrás gazdagép neve Üzenet A Windows-esemény eredeti eseményszövege Az üzenetkulcsnak és az értéknek utolsónak kell lennie.
A sorrend nem fontos a key=value párok esetében.
A következőhöz hasonló üzenet jelenik meg:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
A QRadar egy ügynökön keresztül engedélyezi az eseménygyűjtést. Ha az adatokat ügynök használatával gyűjti össze, az időformátum ezredmásodperc nélkül lesz összegyűjtve.
Mivel a Defender for Identitynek ezredmásodpercnyi adatra van szüksége, először konfigurálnia kell a QRadart ügynök nélküli Windows-eseménygyűjtemény használatára. További információ : QRadar: Ügynök nélküli Windows-eseménygyűjtemény az MSRPC protokoll használatával.
Az alábbi üzenetszintaxis használatával konfigurálhatja az önálló érzékelőt a QRadar-események figyelésére:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
Ebben a szintaxisban a következő mezőket kell tartalmaznia:
- A gyűjtemény ügynöktípusa
- A Windows eseménynapló-szolgáltatójának neve
- A Windows eseménynaplójának forrása
- A tartományvezérlő teljes tartományneve
- A Windows eseményazonosítója
TimeGenerated
, amely a tényleges esemény időbélyege. Győződjön meg arról, hogy az érték nem az SIEM-be való érkezés időbélyege, vagy amikor a rendszer elküldi az identitáshoz készült Defendernek. Az időbélyeg formátumának ezredmásodperc pontosságúnak kell lennieThe format should match yyyyMMddHHmmss.FFFFFF
.
Győződjön meg arról, hogy az üzenet tartalmazza a Windows-esemény eredeti eseményszövegét, és hogy a key=value párok között van \t
.
Megjegyzés:
A WinCollect windowsos eseménycsoporthoz való használata nem támogatott.
Kapcsolódó tartalom
For more information, see: