Dengarkan peristiwa SIEM di sensor mandiri Defender for Identity Anda
Artikel ini menguraikan sintaks pesan yang diperlukan saat mengonfigurasi sensor mandiri Defender for Identity untuk mendengarkan jenis peristiwa SIEM yang didukung. Mendengarkan peristiwa SIEM adalah salah satu metode untuk meningkatkan kemampuan deteksi Anda dengan peristiwa Windows tambahan yang tidak tersedia dari jaringan pengendali domain.
Untuk informasi selengkapnya, lihat Gambaran umum pengumpulan peristiwa Windows.
Penting
Sensor mandiri Defender for Identity tidak mendukung pengumpulan entri log Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan data untuk beberapa deteksi. Untuk cakupan penuh lingkungan Anda, sebaiknya sebarkan sensor Defender for Identity.
RSA Security Analytics
Gunakan sintaks pesan berikut untuk mengonfigurasi sensor mandiri Anda untuk mendengarkan peristiwa RSA Security Analytics:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
Dalam sintaks ini:
Header syslog bersifat opsional.
Pemisah
\nkarakter diperlukan di antara semua bidang.Bidang, secara berurutan, adalah:
- (Diperlukan) Konstanta RsaSA
- Tanda waktu peristiwa aktual. Pastikan itu bukan tanda waktu kedatangan ke SIEM, atau ketika dikirim ke Defender for Identity. Kami sangat menyarankan untuk menggunakan akurasi milidetik.
- ID peristiwa Windows
- Nama penyedia aktivitas Windows
- Nama log kejadian Windows
- Nama komputer yang menerima peristiwa, seperti pengendali domain
- Nama pengguna yang mengautentikasi
- Nama nama host sumber
- Kode hasil NTLM
Penting
Urutan bidang penting dan tidak ada yang lain yang harus disertakan dalam pesan.
MicroFocus ArcSight
Gunakan sintaks pesan berikut untuk mengonfigurasi sensor mandiri Anda untuk mendengarkan peristiwa MicroFocus ArcSight:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Dalam sintaks ini:
Pesan Anda harus mematuhi definisi protokol.
Tidak ada header syslog yang disertakan.
Bagian header, dipisahkan oleh pipa (|) harus disertakan, seperti yang dinyatakan dalam protokol
Kunci berikut di bagian Ekstensi harus ada dalam peristiwa:
Kunci Deskripsi externalId ID peristiwa Windows Rt @ Tanda waktu peristiwa aktual. Pastikan bahwa nilai bukan tanda waktu kedatangan ke SIEM, atau saat dikirim ke Defender for Identity. Pastikan juga untuk menggunakan akurasi milidetik. cat Nama log kejadian Windows shost Nama host sumber dhost Komputer yang menerima peristiwa, seperti pengendali domain duser Pengguna mengautentikasi Urutan tidak penting untuk bagian Ekstensi .
Anda harus memiliki kunci kustom dan keyLable untuk bidang berikut:
EventSourceReason or Error Code= Kode hasil NTLM
Splunk
Gunakan sintaks pesan berikut untuk mengonfigurasi sensor mandiri Anda untuk mendengarkan peristiwa Splunk:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
Dalam sintaks ini:
Header syslog bersifat opsional.
Ada pemisah
\r\nkarakter di antara semua bidang yang diperlukan. Ini adalahCRLFkarakter kontrol, (0D0Adalam heks), dan bukan karakter harfiah.Bidang dalam
key=valueformat.Kunci berikut harus ada dan memiliki nilai:
Nama Deskripsi EventCode ID peristiwa Windows Logfile Nama log kejadian Windows SourceName Nama penyedia aktivitas Windows TimeGenerated Tanda waktu peristiwa aktual. Pastikan bahwa nilai bukan tanda waktu kedatangan ke SIEM, atau saat dikirim ke Defender for Identity. Format tanda waktu harus The format should match yyyyMMddHHmmss.FFFFFF, dan Anda harus menggunakan akurasi milidetik.ComputerName Nama host sumber Pesan Teks peristiwa asli dari peristiwa Windows Kunci dan nilai Pesan harus terakhir.
Urutan tidak penting untuk pasangan key=value.
Pesan yang mirip dengan berikut ini muncul:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar memungkinkan pengumpulan peristiwa melalui agen. Jika data dikumpulkan menggunakan agen, format waktu dikumpulkan tanpa data milidetik.
Karena Defender untuk Identitas membutuhkan data milidetik, Anda harus terlebih dahulu mengonfigurasi QRadar untuk menggunakan pengumpulan peristiwa Windows tanpa agen. Untuk informasi selengkapnya, lihat QRadar: Kumpulan Peristiwa Windows Tanpa Agen menggunakan Protokol MSRPC.
Gunakan sintaks pesan berikut untuk mengonfigurasi sensor mandiri Anda untuk mendengarkan peristiwa QRadar:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
Dalam sintaks ini, Anda harus menyertakan bidang berikut:
- Jenis agen untuk koleksi
- Nama penyedia log kejadian Windows
- Sumber log peristiwa Windows
- Nama domain DC yang sepenuhnya memenuhi syarat
- ID peristiwa Windows
TimeGenerated, yang merupakan tanda waktu dari peristiwa aktual. Pastikan bahwa nilai bukan tanda waktu kedatangan ke SIEM, atau saat dikirim ke Defender for Identity. Format tanda waktu harusThe format should match yyyyMMddHHmmss.FFFFFF, dan harus memiliki akurasi milidetik.
Pastikan bahwa pesan menyertakan teks peristiwa asli dari peristiwa Windows, dan yang Anda miliki \t di antara pasangan key=value.
Catatan
Menggunakan WinCollect untuk koleksi peristiwa Windows tidak didukung.
Konten terkait
Untuk informasi selengkapnya, lihat: