학습
인증
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Microsoft 365 Defender를 사용하여 위협을 조사, 검색 및 완화하세요.
Defender for Identity 독립 실행형 센서에서 SIEM 이벤트 수신 대기
이 문서에서는 지원되는 SIEM 이벤트 유형을 수신 대기하도록 Defender for Identity 독립 실행형 센서를 구성할 때 필요한 메시지 구문을 설명합니다. SIEM 이벤트 수신 대기는 도메인 컨트롤러 네트워크에서 사용할 수 없는 추가 Windows 이벤트를 사용하여 검색 기능을 향상시키는 한 가지 방법입니다.
자세한 내용은 Windows 이벤트 컬렉션 개요를 참조하세요.
중요
Defender for Identity 독립 실행형 센서는 여러 검색에 대한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 컬렉션을 지원하지 않습니다. 환경을 전체적으로 검사하려면 Defender for Identity 센서를 배포하는 것이 좋습니다.
다음 메시지 구문을 사용하여 RSA Security Analytics 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.
text
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
이 구문에서 다음을 수행합니다.
syslog 헤더는 선택 사항입니다.
\n문자 구분 기호는 모든 필드 간에 필요합니다.순서대로 필드는 다음과 같습니다.
- (필수) RsaSA 상수
- 실제 이벤트의 타임스탬프입니다. SIEM 에 도착하는 타임스탬프가 아니거나 Defender for Identity로 전송되는 시기가 아닌지 확인합니다. 밀리초의 정확도를 사용하는 것이 좋습니다.
- Windows 이벤트 ID
- Windows 이벤트 공급자 이름
- Windows 이벤트 로그 이름
- 이벤트를 수신하는 컴퓨터의 이름(예: 도메인 컨트롤러)
- 인증하는 사용자의 이름
- 원본 호스트 이름의 이름
- NTLM의 결과 코드
중요
필드의 순서가 중요하며 메시지에 다른 항목이 포함되어서는 안 됩니다.
다음 메시지 구문을 사용하여 MicroFocus ArcSight 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.
text
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
이 구문에서 다음을 수행합니다.
메시지는 프로토콜 정의를 준수해야 합니다.
syslog 헤더는 포함되지 않습니다.
프로토콜에 설명된 대로 파이프 (|)로 구분된 헤더 부분을 포함해야 합니다.
확장 파트의 다음 키는 이벤트에 있어야 합니다.
키 설명 externalId Windows 이벤트 ID rt(rt) 실제 이벤트의 타임스탬프입니다. 값이 SIEM 도착의 타임스탬프가 아니거나 Defender for Identity로 전송되는 시점이 아닌지 확인합니다. 또한 밀리초의 정확도를 사용해야 합니다. 고양이 Windows 이벤트 로그 이름 shost 원본 호스트 이름 dhost 도메인 컨트롤러와 같은 이벤트를 수신하는 컴퓨터 duser 사용자가 인증하는 경우 확장 부분에는 순서가 중요하지 않습니다.
다음 필드에 대한 사용자 지정 키와 keyLable 이 있어야 합니다.
EventSource-
Reason or Error Code= NTLM의 결과 코드
다음 메시지 구문을 사용하여 Splunk 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.
text
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
이 구문에서 다음을 수행합니다.
syslog 헤더는 선택 사항입니다.
\r\n모든 필수 필드 사이에 문자 구분 기호가 있습니다. 리터럴 문자가CRLF아닌 컨트롤 문자(0D0A16진수)입니다.필드는 형식입니다
key=value.다음 키가 있어야 하며 값이 있어야 합니다.
이름 설명 EventCode Windows 이벤트 ID 로그 파일 Windows 이벤트 로그 이름 SourceName Windows 이벤트 공급자 이름 TimeGenerated 실제 이벤트의 타임스탬프입니다. 값이 SIEM 도착의 타임스탬프가 아니거나 Defender for Identity로 전송되는 시점이 아닌지 확인합니다. 타임스탬프 형식은 이어야 The format should match yyyyMMddHHmmss.FFFFFF하며 밀리초의 정확도를 사용해야 합니다.ComputerName 원본 호스트 이름 메시지 Windows 이벤트의 원래 이벤트 텍스트 메시지 키와 값은 마지막이어야 합니다.
키=값 쌍에는 순서가 중요하지 않습니다.
다음과 유사한 메시지가 나타납니다.
Bash
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar는 에이전트를 통해 이벤트 수집을 사용하도록 설정합니다. 에이전트를 사용하여 데이터를 수집하는 경우 시간 형식은 밀리초 데이터 없이 수집됩니다.
Defender for Identity에는 밀리초의 데이터가 필요하므로 먼저 에이전트 없는 Windows 이벤트 컬렉션을 사용하도록 QRadar를 구성해야 합니다. 자세한 내용은 QRadar: MSRPC 프로토콜을 사용하는 에이전트 없는 Windows 이벤트 컬렉션을 참조하세요.
다음 메시지 구문을 사용하여 QRadar 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.
text
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
이 구문에는 다음 필드가 포함되어야 합니다.
- 컬렉션의 에이전트 유형
- Windows 이벤트 로그 공급자 이름
- Windows 이벤트 로그 원본
- DC 정규화된 도메인 이름
- Windows 이벤트 ID
-
TimeGenerated는 실제 이벤트의 타임스탬프입니다. 값이 SIEM 도착의 타임스탬프가 아니거나 Defender for Identity로 전송되는 시점이 아닌지 확인합니다. 타임스탬프 형식은 이어야The format should match yyyyMMddHHmmss.FFFFFF하며 정확도는 밀리초여야 합니다.
메시지에 Windows 이벤트의 원래 이벤트 텍스트가 포함되어 있고 key=value 쌍 사이에 있는지 \t 확인합니다.
참고
Windows용 WinCollect 이벤트 컬렉션 사용은 지원되지 않습니다.
자세한 내용은 다음 항목을 참조하세요.
추가 리소스
설명서
-
독립 실행형 센서 필수 구성 요소 - Microsoft Defender for Identity
이 문서에서는 독립 실행형 센서를 사용하여 성공적인 Microsoft Defender for Identity 배포에 필요한 필수 구성 요소를 설명합니다.
-
포트 미러링 구성 - Microsoft Defender for Identity
Defender for Identity 포트 미러링 옵션에 대해 알아봅니다.
-
센서 관리 및 업데이트 - Microsoft Defender for Identity
Microsoft Defender for Identity 센서를 관리하고 업데이트하는 방법을 알아봅니다.