이벤트 수집 구성

검색 기능을 향상하려면 Microsoft Defender for Identity 이벤트 컬렉션 구성에 나열된 Windows 이벤트가 필요합니다. 이러한 이벤트는 Defender for Identity 센서에서 자동으로 읽거나 Defender for Identity 센서가 배포되지 않은 경우 [Defender for Identity 독립 실행형 센서를 구성하거나 WINDOWS 이벤트 전달을 구성하여 두 가지 방법 중 하나로 Defender for Identity 독립 실행형 센서로 전달할 수 있습니다.

참고

• Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.

Defender for Identity는 도메인 컨트롤러 간 네트워크 트래픽을 수집하고 분석하는 것 외에도 Windows 이벤트를 사용하여 검색을 더욱 향상시킬 수 있습니다. 이러한 이벤트는 SIEM에서 수신될 수도 있고 도메인 컨트롤러에서 Windows 이벤트 전달을 설정하여 수신할 수도 있습니다. 수집된 이벤트는 도메인 컨트롤러 네트워크 트래픽을 통해서는 사용할 수 없는 추가 정보를 Defender for Identity에 제공합니다.

SIEM/Syslog

Defender for Identity 독립 실행형 센서는 기본적으로 Syslog 데이터를 받도록 구성됩니다. Defender for Identity 독립 실행형 센서가 해당 데이터를 사용할 수 있도록 하려면 Syslog 데이터를 센서에 전달해야 합니다.

참고

Defender for Identity는 IPv6이 아닌 IPv4에서만 수신 대기합니다.

중요

• 모든 Syslog 데이터를 Defender for Identity 센서에 전달하지 마세요.
• Defender for Identity는 SIEM/Syslog 서버의 UDP 트래픽을 지원합니다.

다른 서버로의 특정 이벤트 전달을 구성하는 방법은 SIEM/Syslog 서버의 제품 설명서를 참조하세요.

참고

SIEM/Syslog 서버를 사용하지 않는 경우 Defender for Identity에서 수집하고 분석할 모든 필수 이벤트를 전달하도록 Windows 도메인 컨트롤러를 구성할 수 있습니다.

SIEM 이벤트를 수신하도록 Defender for Identity 센서 구성

• 모든 필수 이벤트를 Defender for Identity 독립 실행형 센서 중 하나의 IP 주소로 전달하도록 SIEM 또는 Syslog 서버를 구성합니다. SIEM 구성에 대한 자세한 내용은 각 SIEM 서버에 대한 특정 서식 요구 사항에 대한 SIEM 온라인 도움말 또는 기술 지원 옵션을 참조하세요.

Defender for Identity는 다음 형식의 SIEM 이벤트를 지원합니다.

RSA 보안 분석

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

• Syslog 헤더는 선택 사항입니다.

• "\n" 문자 구분 기호는 모든 필드 사이에 필요합니다.

• 필드는 순서대로 다음과 같습니다.

  1. RsaSA 상수(표시되어야 함)
  2. 실제 이벤트의 타임스탬프입니다(SIEM에 도착하는 타임스탬프가 아니거나 Defender for Identity로 전송되는 경우). 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.
  3. Windows 이벤트 ID
  4. Windows 이벤트 공급자 이름
  5. Windows 이벤트 로그 이름
  6. 이벤트를 수신하는 컴퓨터의 이름(이 예제의 경우 DC)
  7. 인증하는 사용자의 이름
  8. 원본 호스트 이름
  9. NTLM의 결과 코드

• 순서가 중요하며, 그 밖에 어떤 것도 메시지에 포함되어서는 안 됩니다.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

• 프로토콜 정의를 준수해야 합니다.

• Syslog 헤더가 없습니다.

• 헤더 부분(파이프로 구분된 부분)이 있어야 합니다(프로토콜에 명시된 대로).

• Extension 부분의 다음 키가 이벤트에 있어야 합니다.

  • externalId = Windows 이벤트 ID
  • rt = 실제 이벤트의 타임스탬프입니다(SIEM에 도착하는 타임스탬프가 아니거나 Defender for Identity로 전송되는 경우). 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.
  • cat = Windows 이벤트 로그 이름
  • shost = 원본 호스트 이름
  • dhost = 이벤트를 수신하는 컴퓨터의 이름(이 예제의 경우 DC)
  • duser = 인증하는 사용자의 이름

• 확장 부분에는 순서가 중요하지 않습니다.

• 다음 두 필드에 대한 사용자 지정 키 및 키 레이블이 있어야 합니다.

  • "EventSource"
  • "Reason or Error Code" = NTLM의 결과 코드

Splunk

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

The computer attempted to validate the credentials for an account.

인증 패키지: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

로그온 계정: 관리자

원본 워크스테이션: SIEM

오류 코드: 0x0

• Syslog 헤더는 선택 사항입니다.

• 모든 필수 필드 사이에 "\r\n" 문자 구분 기호가 있습니다. 이는 리터럴 문자가 아닌 제어 문자 CRLF(0D0A 16진수)입니다.

• 필드는 키=값 형식입니다.

• 다음 키가 존재해야 하며 값이 있어야 합니다.

  • EventCode = Windows 이벤트 ID
  • Logfile = Windows 이벤트 로그 이름
  • SourceName = Windows 이벤트 공급자 이름
  • TimeGenerated = 실제 이벤트의 타임스탬프입니다(SIEM에 도착하는 타임스탬프가 아니거나 Defender for Identity로 전송되는 경우). 형식은 yyyyMMddHHmmss.FFFFFF와 일치해야 합니다. 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.
  • ComputerName = 원본 호스트 이름
  • Message = Windows 이벤트의 원래 이벤트 텍스트

• 메시지 키와 값은 마지막 키와 값이어야 합니다.

• 키=값 쌍에는 순서가 중요하지 않습니다.

QRadar

QRadar는 에이전트를 통해 이벤트 컬렉션을 사용하도록 설정합니다. 에이전트를 사용하여 데이터를 수집하는 경우 시간 형식은 밀리초 데이터 없이 수집됩니다. Defender for Identity에는 밀리초의 데이터가 필요하므로 에이전트 없는 Windows 이벤트 컬렉션을 사용하도록 QRadar를 설정해야 합니다. 자세한 내용은 QRadar: MSRPC 프로토콜을 사용하여 에이전트 없는 Windows 이벤트 컬렉션을 참조하세요.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

필요한 필드는 다음과 같습니다.

• 컬렉션용 에이전트 유형

• Windows 이벤트 로그 공급자 이름

• Windows 이벤트 로그 원본

• DC 정규화된 도메인 이름

• Windows 이벤트 ID

TimeGenerated는 실제 이벤트의 타임스탬프입니다(SIEM에 도착하는 타임스탬프가 아니거나 Defender for Identity로 전송되는 경우). 형식은 yyyyMMddHHmmss.FFFFFF와 일치해야 합니다. 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.

Message는 Windows 이벤트의 원래 이벤트 텍스트입니다.

키=값 쌍 사이에 \t가 있는지 확인합니다.

참고

Windows 이벤트 컬렉션용 WinCollect는 사용할 수 없습니다.

추가 정보

• Defender for Identity 크기 조정 도구
• Defender for Identity SIEM 로그 참조
• Defender for Identity 필수 조건
• Defender for Identity 포럼 확인