ATA installeren - Stap 6
Van toepassing op: Advanced Threat Analytics versie 1.9
Stap 6: Gebeurtenisverzameling configureren
Gebeurtenisverzameling configureren
Om de detectiemogelijkheden te verbeteren, heeft ATA de volgende Windows-gebeurtenissen nodig: 4776, 4732, 4733, 4728, 4729, 4756, 4757 en 7045. Deze Windows-gebeurtenissen worden automatisch gelezen door de ATA Lightweight-gateway of als de ATA Lightweight-gateway niet is geïmplementeerd, kunnen ze op twee manieren worden doorgestuurd naar de ATA-gateway, ofwel door de ATA Gateway te configureren om te luisteren naar SIEM-gebeurtenissen of door Windows Event Forwarding te configureren.
Notitie
Voor ATA-versies 1.8 en hoger is de configuratie van de Windows-gebeurtenisverzameling niet meer nodig voor ATA Lightweight-gateways. De ATA Lightweight-gateway leest nu gebeurtenissen lokaal, zonder dat het doorsturen van gebeurtenissen hoeft te worden geconfigureerd.
Naast het verzamelen en analyseren van netwerkverkeer van en naar de domeincontrollers, kan ATA Windows-gebeurtenissen gebruiken om detecties verder te verbeteren. Het maakt gebruik van gebeurtenis 4776 voor NTLM, die verschillende detecties en gebeurtenissen 4732, 4733, 4728, 4729, 4756 en 4757 verbetert voor het verbeteren van de detectie van gevoelige groepswijzigingen. Dit kan worden ontvangen van uw SIEM of door Windows Event Forwarding in te stellen vanaf uw domeincontroller. Gebeurtenissen die worden verzameld, bieden ATA aanvullende informatie die niet beschikbaar is via het netwerkverkeer van de domeincontroller.
SIEM/Syslog
Als ATA gegevens van een Syslog-server kan gebruiken, moet u de volgende stappen uitvoeren:
- Configureer uw ATA Gateway-servers om gebeurtenissen te beluisteren en te accepteren die zijn doorgestuurd vanaf de SIEM-/Syslog-server.
Notitie
ATA luistert alleen op IPv4 en niet op IPv6.
- Configureer uw SIEM/Syslog-server om specifieke gebeurtenissen door te sturen naar de ATA Gateway.
Belangrijk
- Stuur niet alle Syslog-gegevens door naar de ATA Gateway.
- ATA ondersteunt UDP-verkeer van de SIEM/Syslog-server.
Raadpleeg de productdocumentatie van uw SIEM/Syslog-server voor informatie over het configureren van het doorsturen van specifieke gebeurtenissen naar een andere server.
Notitie
Als u geen SIEM-/Syslog-server gebruikt, kunt u uw Windows-domeincontrollers configureren om Windows-gebeurtenis-id 4776 door te sturen om te worden verzameld en geanalyseerd door ATA. Windows-gebeurtenis-id 4776 biedt gegevens met betrekking tot NTLM-verificaties.
De ATA Gateway configureren om te luisteren naar SIEM-gebeurtenissen
Klik in ATA-configuratie onder Gegevensbronnen op SIEM en schakel Syslog in en klik op Opslaan.
Configureer uw SIEM- of Syslog-server om Windows-gebeurtenis-id 4776 door te sturen naar het IP-adres van een van de ATA-gateways. Voor meer informatie over het configureren van uw SIEM, raadpleegt u de online-help- of technische ondersteuningsopties van SIEM voor specifieke opmaakvereisten voor elke SIEM-server.
ATA ondersteunt SIEM-gebeurtenissen in de volgende indelingen:
RSA Security Analytics
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
Syslog-header is optioneel.
"\n" tekenscheidingsteken is vereist tussen alle velden.
De velden, in volgorde, zijn:
- RsaSA-constante (moet worden weergegeven).
- De tijdstempel van de werkelijke gebeurtenis (zorg ervoor dat dit niet de tijdstempel is van de aankomst naar de EM of wanneer deze naar ATA wordt verzonden). Bij voorkeur in milliseconden nauwkeurigheid, is dit belangrijk.
- De Windows-gebeurtenis-id
- De naam van de Windows-gebeurtenisprovider
- De naam van het Windows-gebeurtenislogboek
- De naam van de computer die de gebeurtenis ontvangt (in dit geval de DC)
- De naam van de gebruiker die zich verifiëren
- De naam van de hostnaam van de bron
- De resultaatcode van de NTLM
De volgorde is belangrijk en niets anders moet worden opgenomen in het bericht.
MicroFocus ArcSight
CEF:0 |Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776 |De domeincontroller heeft geprobeerd de referenties voor een account te valideren.|Laag| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Moet voldoen aan de protocoldefinitie.
Geen syslog-header.
Het koptekstgedeelte (het deel dat wordt gescheiden door een pijp) moet bestaan (zoals aangegeven in het protocol).
De volgende sleutels in het extensieonderdeel moeten aanwezig zijn in de gebeurtenis:
- externalId = de Windows-gebeurtenis-id
- rt = de tijdstempel van de werkelijke gebeurtenis (zorg ervoor dat dit niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar ATA wordt verzonden). Bij voorkeur in milliseconden nauwkeurigheid, is dit belangrijk.
- cat = de naam van het Windows-gebeurtenislogboek
- shost = de naam van de bronhost
- dhost = de computer die de gebeurtenis ontvangt (in dit geval de DC)
- duser = de gebruiker verifiëren
De volgorde is niet belangrijk voor het extensieonderdeel
Er moet een aangepaste sleutel en keyLable zijn voor deze twee velden:
- "EventSource"
- "Reason or Error Code" = De resultaatcode van de NTLM
Splunk
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
De computer heeft geprobeerd de referenties voor een account te valideren.
Verificatiepakket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Aanmeldingsaccount: Beheer istrator
Bronwerkstation: SIEM
Foutcode: 0x0
Syslog-header is optioneel.
Er is een scheidingsteken '\r\n' tussen alle vereiste velden. Houd er rekening mee dat dit de besturingstekens CRLF (0D0A in hex) zijn en niet letterlijke tekens.
De velden hebben de notatie key=value.
De volgende sleutels moeten bestaan en een waarde hebben:
- EventCode = de Windows-gebeurtenis-id
- Logfile = de naam van het Windows-gebeurtenislogboek
- SourceName = De naam van de Windows-gebeurtenisprovider
- TimeGenerated = de tijdstempel van de werkelijke gebeurtenis (zorg ervoor dat dit niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar ATA wordt verzonden). De notatie moet overeenkomen met yyyyMMdDHHmmss.FFFFFF, bij voorkeur in milliseconden nauwkeurigheid, dit is belangrijk.
- ComputerNaam = de hostnaam van de bron
- Bericht = de oorspronkelijke gebeurtenistekst van de Windows-gebeurtenis
De berichtsleutel en -waarde moeten de laatste zijn.
De volgorde is niet belangrijk voor de sleutel=waardeparen.
QRadar
QRadar schakelt gebeurtenisverzameling via een agent in. Als de gegevens worden verzameld met behulp van een agent, wordt de tijdnotatie verzameld zonder millisecondegegevens. Omdat ATA milliseconden nodig heeft, is het noodzakelijk om QRadar in te stellen voor het gebruik van windows-gebeurtenisverzameling zonder agent. Zie QRadar: Windows-gebeurtenissenverzameling zonder agent met behulp van het MSRPC-protocol voor meer informatie.
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
De benodigde velden zijn:
Het agenttype voor de verzameling
De naam van de Windows-gebeurtenislogboekprovider
De bron van het Windows-gebeurtenislogboek
De volledig gekwalificeerde DC-domeinnaam
De Windows-gebeurtenis-id
TimeGenerated is de tijdstempel van de werkelijke gebeurtenis (zorg ervoor dat dit niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar ATA wordt verzonden). De notatie moet overeenkomen met yyyyMMdDHHmmss.FFFFFF, bij voorkeur in milliseconden nauwkeurigheid, dit is belangrijk.
Bericht is de oorspronkelijke gebeurtenistekst van de Windows-gebeurtenis
Zorg ervoor dat u \t tussen de sleutel-waardeparen hebt.
Notitie
Het gebruik van WinCollect voor Windows-gebeurtenisverzameling wordt niet ondersteund.