Ascoltare gli eventi SIEM nel sensore autonomo defender per identità
Questo articolo descrive la sintassi del messaggio necessaria durante la configurazione di un sensore autonomo defender per identità per l'ascolto dei tipi di eventi SIEM supportati. L'ascolto degli eventi SIEM è un metodo per migliorare le capacità di rilevamento con eventi Di Windows aggiuntivi che non sono disponibili dalla rete del controller di dominio.
Per altre informazioni, vedere Panoramica della raccolta di eventi di Windows.
Importante
I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Analisi della sicurezza RSA
Usare la sintassi dei messaggi seguente per configurare il sensore autonomo per l'ascolto degli eventi di ANALISI della sicurezza RSA:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
In questa sintassi:
L'intestazione syslog è facoltativa.
Il
\n
separatore di caratteri è obbligatorio tra tutti i campi.I campi, in ordine, sono:
- (Obbligatorio) Costante RsaSA
- Timestamp dell'evento effettivo. Assicurarsi che non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. È consigliabile usare un'accuratezza di millisecondi.
- ID evento di Windows
- Nome del provider di eventi di Windows
- Nome del registro eventi di Windows
- Nome del computer che riceve l'evento, ad esempio il controller di dominio
- Nome dell'utente che esegue l'autenticazione
- Nome del nome host di origine
- Codice di risultato di NTLM
Importante
L'ordine dei campi è importante e non è necessario includere altro nel messaggio.
MicroFocus ArcSight
Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi di MicroFocus ArcSight:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
In questa sintassi:
Il messaggio deve essere conforme alla definizione del protocollo.
Non è inclusa alcuna intestazione syslog.
La parte dell'intestazione, separata da una pipe (|) deve essere inclusa, come indicato nel protocollo
Nell'evento devono essere presenti le chiavi seguenti nella parte Estensione :
Chiave Descrizione externalId ID evento di Windows Rt Timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. Assicurarsi inoltre di usare un'accuratezza di millisecondi. cat Nome del registro eventi di Windows shost Nome host di origine dhost Computer che riceve l'evento, ad esempio il controller di dominio duser Autenticazione dell'utente L'ordine non è importante per la parte Estensione .
È necessario avere una chiave personalizzata e keyLable per i campi seguenti:
EventSource
Reason or Error Code
= Codice di risultato di NTLM
Splunk
Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi Splunk:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
In questa sintassi:
L'intestazione syslog è facoltativa.
Esiste un
\r\n
separatore di caratteri tra tutti i campi obbligatori. Si tratta diCRLF
caratteri di controllo, (0D0A
in esadecimale) e non di caratteri letterali.I campi sono in
key=value
formato .Le chiavi seguenti devono esistere e avere un valore:
Nome Descrizione EventCode ID evento di Windows Logfile Nome del registro eventi di Windows SourceName Nome del provider di eventi di Windows TimeGenerated Timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. Il formato timestamp deve essere The format should match yyyyMMddHHmmss.FFFFFF
e è necessario usare un'accuratezza di millisecondi.NomeComputer Nome host di origine Messaggio Testo dell'evento originale dell'evento di Windows Il valore e la chiave del messaggio devono essere ultimi.
L'ordine non è importante per le coppie key=value.
Viene visualizzato un messaggio simile al seguente:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar abilita la raccolta di eventi tramite un agente. Se i dati vengono raccolti usando un agente, il formato dell'ora viene raccolto senza dati in millisecondi.
Poiché Defender per identità richiede dati in millisecondi, è prima necessario configurare QRadar per l'uso della raccolta di eventi di Windows senza agente. Per altre informazioni, vedere QRadar: Raccolta di eventi di Windows senza agente tramite il protocollo MSRPC.
Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi QRadar:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
In questa sintassi è necessario includere i campi seguenti:
- Tipo di agente per la raccolta
- Nome del provider del registro eventi di Windows
- Origine del registro eventi di Windows
- Nome di dominio completo del controller di dominio
- ID evento di Windows
TimeGenerated
, ovvero il timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. Il formato timestamp deve essereThe format should match yyyyMMddHHmmss.FFFFFF
e deve avere un'accuratezza di millisecondi.
Assicurarsi che il messaggio includa il testo dell'evento originale dell'evento di Windows e che sia presente \t
tra le coppie key=value.
Nota
L'uso di WinCollect per la raccolta di eventi di Windows non è supportato.
Contenuto correlato
Per altre informazioni, vedi: