ATA のインストール - 手順 6

  • [アーティクル]

適用対象: Advanced Threat Analytics Version 1.9

« 手順 5手順 7 »

ステップ 6: イベント収集を構成する

イベント収集を構成する

検出機能を強化するために、ATA には 4776、4732、4733、4728、4729、4756、4757、7045 の Windows イベントが必要です。 Windows イベントは、ATA Lightweight Gateway が自動で読み込むか、ATA Lightweight Gateway がデプロイされていない場合は、SIEM イベントをリッスンするように ATA ゲートウェイを構成するか、Windows イベント転送を構成するかのいずれかの方法でATA ゲートウェイに転送できます。

Note

ATA バージョン 1.8 以降の場合、ATA Lightweight Gateway では Windows イベント収集構成は不要になりました。 ATA Lightweight Gateway では、イベント転送を構成しなくても、イベントをローカルで読み取ることができるようになりました。

ドメイン コントローラーのネットワーク トラフィックの収集と分析に加えて、ATA は Windows イベントを使用して検出をさらに強化できます。 NTLM にはイベント 4776 が使用され、さまざまな検出とイベント 4732、4733、4728、4729、4756、および 4757 が拡張され、機密性の高いグループ変更の検出が強化されます。 これは、SIEM から受信するか、ドメイン コントローラーから Windows イベント転送を設定することで受け取ることができます。 収集されたイベントにより、ドメイン コントローラーのネットワーク トラフィック経由では利用できない追加情報が ATA に提供されます。

SIEM/Syslog

ATA が Syslog サーバーからデータを使用できるようにするには、次の手順を実行する必要があります。

  • SIEM/Syslog サーバーから転送されたイベントをリッスンして受け入れるように ATA ゲートウェイ サーバーを構成します。

Note

ATA は IPv4 でのみリッスンし、IPv6 ではリッスンしません。

  • 特定のイベントを ATA ゲートウェイに転送するように SIEM/Syslog サーバーを構成します。

重要

  • すべての Syslog データを ATA ゲートウェイに転送しないでください。
  • ATA では、SIEM/Syslog サーバーからの UDP トラフィックがサポートされます。

特定のイベントの別のサーバーへの転送を構成する方法については、SIEM/Syslog サーバーの製品ドキュメントを参照してください。

Note

SIEM/Syslog サーバーを使用しない場合は、ATA が収集および分析し、Windows イベント ID 4776 を転送するように Windows ドメイン コントローラーを構成できます。 Windows イベント ID 4776 は、NTLM 認証に関するデータを提供します。

SIEM イベントをリッスンするように ATA ゲートウェイを構成する

  1. ATA 構成で、[データ ソース][SIEM] をクリックし、Syslog を有効にして [保存] をクリックします。

    Enable syslog listener UDP image.

  2. Windows イベント ID 4776 をいずれかの ATA ゲートウェイの IP アドレスに転送するように SIEM または Syslog サーバーを構成します。 SIEM の構成の詳細については、各 SIEM サーバーの特定の書式設定要件に関する SIEM オンライン ヘルプまたはテクニカル サポート オプションを参照してください。

ATA では、次の形式の SIEM イベントがサポートされています。

RSA セキュリティ分析

<Syslog ヘッダー>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • Syslog ヘッダーはオプションです。

  • すべてのフィールドの間に「\n」の区切り文字が必要です。

  • フィールドの順序は次のとおりです。

    1. RsaSA 定数 (指定必須)。
    2. 実際のイベントのタイムスタンプ (EM への到着または ATA への送信時のタイムスタンプではないことを確認してください)。 ミリ秒単位の精度が望ましいので、これは重要です。
    3. Windows イベント ID
    4. Windows イベント プロバイダー名
    5. Windows イベント ログ名
    6. イベントを受信しているコンピューターの名前 (この場合は DC)
    7. ユーザー認証名
    8. ソース・ホスト名の名前
    9. NTLM の結果コード

  • 順序は重要であり、メッセージには他に何も含めないでください。

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • プロトコル定義に準拠している必要があります。

  • Syslog ヘッダーがありません。

  • ヘッダー部分 (パイプで区切られた部分) が存在する必要があります (プロトコルに記載されています)。

  • 拡張機能部分の次のキーは、イベントに存在する必要があります。

    • externalId = Windows イベント ID
    • rt = 実際のイベントのタイムスタンプ (SIEM の到着タイムスタンプまたは、ATA への送信時間タイムスタンプではないことを確認します。) ミリ秒単位の精度が望ましいので、これは重要です。
    • cat = Windows イベント ログ名
    • shost = ソース ホスト名
    • dhost = イベントを受信しているコンピューター (この場合は DC)
    • duser = ユーザー認証

  • この順序は、拡張機能部分にとって重要ではありません。

  • 次の 2 つのフィールドには、カスタム キーと keyLable が必要です。

    • "EventSource"
    • Reason or Error Code" = NTLM の結果コード

Splunk

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

コンピューターがアカウント資格情報の検証を試行しました。

認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

ログオン アカウント: 管理者

ソース ワークステーション: SIEM

エラー コード: 0x0

  • Syslog ヘッダーはオプションです。

  • すべての必須フィールドの間に「\r\n」区切り文字があります。 これらは制御文字 CRLF (16 進数の 0D0A) であり、リテラル文字ではないことに注意してください。

  • フィールドは key=value 形式です。

  • 次のキーが存在し、値を持っている必要があります。

    • EventCode = Windows イベント ID
    • Logfile = Windows イベント ログ名
    • SourceName = Windows イベント プロバイダー名
    • TimeGenerated = 実際のイベントのタイムスタンプ (SIEM の到着タイムスタンプまたは、ATA への送信時間タイムスタンプではないことを確認します。) 形式は yyyyMMddHHmmss.FFFFFF と一致する必要があります。ミリ秒単位の精度が望ましいので、これは重要です。
    • ComputerName = ソース ホスト名
    • メッセージ = Windows イベントの元のイベント テキスト

  • メッセージ キーと値は最後である必要があります。

  • 順序は、key=value のペアでは重要ではありません。

QRadar

QRadar では、エージェントを介したイベント収集が有効になります。 エージェントを使用してデータを収集する場合、時間形式はミリ秒のデータなしで収集されます。 ATA はミリ秒のデータを必要とするため、エージェントレス Windows イベント コレクションを使用するように QRadar を設定する必要があります。 詳細については、「QRadar: MSRPC プロトコルを使用したエージェントレス Windows イベント コレクション」を参照してください。

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

必要なフィールドは次のとおりです。

  • コレクションのエージェントの種類

  • Windows イベント ログ プロバイダー名

  • Windows イベント ログ ソース

  • DC は、完全修飾ドメイン名です。

  • Windows イベント ID

TimeGenerated は、実際のイベントのタイムスタンプです (SIEM の到着タイムスタンプまたは、ATA への送信時間タイムスタンプではないことを確認します。) 形式は yyyyMMddHHmmss.FFFFFF と一致する必要があります。ミリ秒単位の精度が望ましいので、これは重要です。

メッセージ は、Windows イベントの元のイベント テキストです

key=value ペアの間に \t があることを確認します。

Note

WinCollect for Windows イベント コレクションの使用はサポートされていません。

« 手順 5手順 7 »

関連項目