Menginstal ATA - Langkah 6
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Langkah 6: Mengonfigurasi koleksi peristiwa
Mengonfigurasi Koleksi Peristiwa
Untuk meningkatkan kemampuan deteksi, ATA memerlukan peristiwa Windows berikut: 4776, 4732, 4733, 4728, 4729, 4756, 4757, dan 7045. Peristiwa Windows ini dibaca secara otomatis oleh Gateway Ringan ATA atau jika Gateway Ringan ATA tidak disebarkan, peristiwa tersebut dapat diteruskan ke Gateway ATA dengan salah satu dari dua cara, baik dengan mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM atau dengan Mengonfigurasi Penerusan Peristiwa Windows.
Catatan
Untuk ATA versi 1.8 dan yang lebih tinggi, konfigurasi pengumpulan peristiwa Windows tidak lagi diperlukan untuk Gateway Ringan ATA. Gateway ATA Lightweight sekarang membaca peristiwa secara lokal, tanpa perlu mengonfigurasi penerusan peristiwa.
Selain mengumpulkan dan menganalisis lalu lintas jaringan ke dan dari pengendali domain, ATA dapat menggunakan peristiwa Windows untuk lebih meningkatkan deteksi. Ini menggunakan peristiwa 4776 untuk NTLM, yang meningkatkan berbagai deteksi dan peristiwa 4732, 4733, 4728, 4729, 4756, dan 4757 untuk meningkatkan deteksi modifikasi grup sensitif. Ini dapat diterima dari SIEM Anda atau dengan mengatur Penerusan Peristiwa Windows dari pengendali domain Anda. Peristiwa yang dikumpulkan memberikan ATA informasi tambahan yang tidak tersedia melalui lalu lintas jaringan pengendali domain.
SIEM/Syslog
Agar ATA dapat menggunakan data dari server Syslog, Anda perlu melakukan langkah-langkah berikut:
- Konfigurasikan server ATA Gateway Anda untuk mendengarkan dan menerima peristiwa yang diteruskan dari server SIEM/Syslog.
Catatan
ATA hanya mendengarkan di IPv4 dan bukan IPv6.
- Konfigurasikan server SIEM/Syslog Anda untuk meneruskan peristiwa tertentu ke Gateway ATA.
Penting
- Jangan teruskan semua data Syslog ke Gateway ATA.
- ATA mendukung lalu lintas UDP dari server SIEM/Syslog.
Lihat dokumentasi produk server SIEM/Syslog Anda untuk informasi tentang cara mengonfigurasi penerusan peristiwa tertentu ke server lain.
Catatan
Jika Anda tidak menggunakan server SIEM/Syslog, Anda dapat mengonfigurasi pengontrol domain Windows untuk meneruskan WINDOWS Event ID 4776 untuk dikumpulkan dan dianalisis oleh ATA. Windows Event ID 4776 menyediakan data mengenai autentikasi NTLM.
Mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM
Di Konfigurasi ATA, di bawah Sumber data klik SIEM dan aktifkan Syslog dan klik Simpan.
Konfigurasikan server SIEM atau Syslog Anda untuk meneruskan WINDOWS Event ID 4776 ke alamat IP salah satu Gateway ATA. Untuk informasi tambahan tentang mengonfigurasi SIEM Anda, lihat opsi bantuan online atau dukungan teknis SIEM Anda untuk persyaratan pemformatan tertentu untuk setiap server SIEM.
ATA mendukung peristiwa SIEM dalam format berikut:
RSA Security Analytics
<Header>Syslog RsaSA\n2015-Mei-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYYY$\nMMMMM \n0x0
Header Syslog bersifat opsional.
Pemisah karakter "\n" diperlukan di antara semua bidang.
Bidang, secara berurutan, adalah:
- Konstanta RsaSA (harus muncul).
- Tanda waktu peristiwa aktual (pastikan itu bukan tanda waktu kedatangan ke EM atau ketika dikirim ke ATA). Sebaiknya dalam akurasi milidetik, ini penting.
- ID peristiwa Windows
- Nama penyedia aktivitas Windows
- Nama log kejadian Windows
- Nama komputer yang menerima peristiwa (DC dalam hal ini)
- Nama pengguna yang mengautentikasi
- Nama nama host sumber
- Kode hasil NTLM
Pesanan penting dan tidak ada yang lain yang harus disertakan dalam pesan.
MicroFocus ArcSight
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Pengendali domain mencoba memvalidasi kredensial untuk akun.|Rendah| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Harus mematuhi definisi protokol.
Tidak ada header syslog.
Bagian header (bagian yang dipisahkan oleh pipa) harus ada (seperti yang dinyatakan dalam protokol).
Kunci berikut di bagian Ekstensi harus ada dalam peristiwa:
- externalId = ID peristiwa Windows
- rt = tanda waktu peristiwa aktual (pastikan itu bukan tanda waktu kedatangan ke SIEM atau ketika dikirim ke ATA). Sebaiknya dalam akurasi milidetik, ini penting.
- cat = nama log peristiwa Windows
- shost = nama host sumber
- dhost = komputer yang menerima peristiwa (DC dalam hal ini)
- duser = pengguna mengautentikasi
Pesanan tidak penting untuk bagian Ekstensi
Harus ada kunci kustom dan keyLable untuk dua bidang ini:
- "EventSource"
- "Alasan atau Kode Kesalahan" = Kode hasil NTLM
Splunk
<Header> Syslog\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
Komputer mencoba memvalidasi kredensial untuk akun.
Paket Autentikasi: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Akun Masuk: Administrator
Stasiun Kerja Sumber: SIEM
Kode Kesalahan: 0x0
Header Syslog bersifat opsional.
Ada pemisah karakter "\r\n" di antara semua bidang yang diperlukan. Perhatikan bahwa ini adalah karakter kontrol CRLF (0D0A dalam hex) dan bukan karakter harfiah.
Bidang dalam format key=value.
Kunci berikut harus ada dan memiliki nilai:
- EventCode = ID peristiwa Windows
- Logfile = nama log peristiwa Windows
- SourceName = Nama penyedia peristiwa Windows
- TimeGenerated = tanda waktu peristiwa aktual (pastikan itu bukan tanda waktu kedatangan ke SIEM atau ketika dikirim ke ATA). Format harus cocok dengan yyyyMMddHHmmss.FFFFFF, sebaiknya dalam akurasi milidetik, ini penting.
- ComputerName = nama host sumber
- Pesan = teks peristiwa asli dari peristiwa Windows
Kunci Pesan dan nilai HARUS terakhir.
Urutan tidak penting untuk pasangan key=value.
QRadar
QRadar memungkinkan pengumpulan peristiwa melalui agen. Jika data dikumpulkan menggunakan agen, format waktu dikumpulkan tanpa data milidetik. Karena ATA mengharuskan data milidetik, perlu mengatur QRadar untuk menggunakan pengumpulan peristiwa Windows tanpa agen. Untuk informasi selengkapnya, lihat QRadar: Kumpulan Peristiwa Windows Tanpa Agen menggunakan Protokol MSRPC.
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
Bidang yang diperlukan adalah:
Jenis agen untuk koleksi
Nama penyedia log kejadian Windows
Sumber log peristiwa Windows
Nama domain DC yang sepenuhnya memenuhi syarat
ID peristiwa Windows
TimeGenerated adalah tanda waktu peristiwa aktual (pastikan itu bukan tanda waktu kedatangan ke SIEM atau ketika dikirim ke ATA). Format harus cocok dengan yyyyMMddHHmmss.FFFFFF, sebaiknya dalam akurasi milidetik, ini penting.
Pesan adalah teks peristiwa asli dari peristiwa Windows
Pastikan untuk memiliki \t antara pasangan key=value.
Catatan
Menggunakan WinCollect untuk koleksi peristiwa Windows tidak didukung.