Dokumentacja dziennika rozwiązania SIEM usługi ATA

Dotyczy: Advanced Threat Analytics w wersji 1.9

Usługę ATA można przesyłać zdarzenia alertów zabezpieczeń i kondycji do rozwiązania SIEM. Alerty są przekazywane w formacie CEF. Poniżej przedstawiono przykład każdego typu dziennika alertów zabezpieczeń, który ma zostać wysłany do rozwiązania SIEM.

Przykładowe alerty zabezpieczeń w formacie CEF

Następujące pola i ich wartości są przekazywane do rozwiązania SIEM:

  • start — godzina uruchomienia alertu
  • suser — konto (zwykle konto użytkownika), które bierze udział w alercie
  • shost — maszyna źródłowa alertu
  • outcome — alerty ze zdefiniowanym powodzeniem lub niepowodzeniem działania wykonane w alercie
  • msg — opis alertu
  • cnt — alerty z liczbą razy, gdy alert się zdarzyło (na przykład atak siłowy ma liczbę odgadiętych haseł)
  • aplikacja — protokół alertów
  • externalId — identyfikator zdarzenia zapisywany przez usługę ATA w dzienniku zdarzeń odpowiadającym alertowi*
  • cs#label & cs# — ciągi klienta, które cef umożliwia użycie wartości cs#label, to nazwa nowego pola, a cs# jest wartością, na przykład: cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5909ae198ca1ec04d05e65fa

W tym przykładzie pole cs1 jest polem zawierającym adres URL do alertu.

*Jeśli tworzysz skrypty lub automatyzację na podstawie dzienników, użyj trwałego externalID każdego dziennika, aby używać nazw dzienników, ponieważ nazwy dzienników mogą ulec zmianie bez powiadomienia.

Nazwy alertów Identyfikatory zdarzeń alertów
2001 Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania
2002 Implementacja nietypowego protokołu
2003 Rekonesans przy użyciu wyliczania kont
2004 Atak siłowy przy użyciu prostego powiązania LDAP
2006 Złośliwa replikacja usług katalogowych
2007 Rekonesans przy użyciu systemu DNS
2008 Działanie obniżania poziomu szyfrowania
2009 Działanie obniżania poziomu szyfrowania (potencjalny bilet golden ticket)
2010 Działanie obniżania poziomu szyfrowania (potencjalne przesuniecie skrótu)
2011 Działanie obniżania poziomu szyfrowania (potencjalny szkielet klucza)
2012 Rekonesans przy użyciu wyliczania sesji SMB
2013 Podwyżsenie poziomu uprawnień przy użyciu danych autoryzacji podszytej
2014 Aktywność w przypadku podanych jako "honeytoken"
2016 Usunięcie dużej liczby obiektów
2017 Kradzież tożsamości przy użyciu ataku typu Pass-the-Hash
2018 Kradzież tożsamości przy użyciu ataku typu Pass-the-Ticket
2019 Wykryto próbę zdalnego wykonania
2020 Złośliwe żądanie informacji prywatnych o ochronie danych
2021 Rekonesans przy użyciu zapytań usług katalogowych
2022 Działanie biletu uwierzytelniania Golden Ticket protokołu Kerberos
2023 Podejrzane błędy uwierzytelniania
2024 Nietypowa modyfikacja wrażliwych grup
2026 Tworzenie podejrzanej usługi

Przykładowe dzienniki

Priorytety: 3=Niski 5=Średni 10=Wysoki

Nietypowa modyfikacja wrażliwych grup

1 2018-12-12T16:53:22.925757+00:00 CENTER ATA 4688 AbnormalSensitiveGroupMembership CEF:0| Microsoft| ATA|1.9.0.0| AbnormalSensitiveGroupMembershipChangeSuspiciousActivity| Nietypowa modyfikacja wrażliwych grup|5|start=2018-12-12T18:52:58.0000000Z app=GroupMembershipChangeEvent suser=krbtgt msg=krbtgt ma nietypowo zmodyfikowane poufne członkostwa w grupach. externalId=2024 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113d028ca1ec1250ca0491

Atak siłowy przy użyciu prostego powiązania LDAP

12-12-2018 19:52:18 Auth.Warning 192.168.0.222 1 2018-12-12T17:52:18.899690+00:00 CENTER ATA 4688 LdapBruteForceSuspi nieświadomyActivity € zonych czkaF:0| Microsoft| ATA|1.9.0.0| LdapBruteForceSuspiciousActivity| Atak siłowy przy użyciu prostego powiązania LDAP|5|start=2018-12-12T17:52:10.2350665Z app=Ldap msg=10000 prób odgadnięcia hasła podjęto na 100 kontach z serwera W2012R2-000000-Server. Pomyślnie odgadnąć hasło jednego konta. externalId=2004 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114acb8ca1ec1250cacdcb

Działanie obniżania poziomu szyfrowania (bilet Golden Ticket)

12-12-2018 20:12:35 Auth.Warning 192.168.0.222 1 2018-12-12T18:12:35.105942+00:00 CENTER ATA 4688 EncryptionDowngradeSuspi nieświadomyAct| powrót Microsoft| ATA|1.9.0.0| EncryptionDowngradeSuspiciousActivity| Działanie obniżania poziomu szyfrowania|5|start=2018-12-12T18:10:35.0334169Z app=Kerberos msg=Metoda szyfrowania pola biletu TGS_REQ TGT komunikatu z W2012R2-000000-Server została obniżona na podstawie wcześniej poznanych zachowań. Może to być wynikiem używania biletu golden ticket na serwerze W2012R2-000000-Server. externalId=2009 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114f938ca1ec1250cafcfa

Działanie obniżania poziomu szyfrowania (overpass-the-hash)

12-12-2018 19:00:31 Auth.Warning 192.168.0.222 1 2018-12-12T17:00:31.963485+00:00 CENTER ATA 4688 EncryptionDowngradeSuspi nieświadomyAct| powrót Microsoft| ATA|1.9.0.0| EncryptionDowngradeSuspiciousActivity| Działanie obniżania poziomu szyfrowania|5|start=2018-12-12T17:00:31.2975188Z app=Kerberos msg=Metoda szyfrowania pola Encrypted_Timestamp komunikatu AS_REQ z serwera W2012R2-000000-Server została obniżona na podstawie wcześniej poznanych zachowań. Może to być wynikiem kradzieży poświadczeń przy użyciu Overpass-the-Hash z W2012R2-000000-Server. externalId=2010 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113eaf8ca1ec1250ca0883

Działanie obniżenia poziomu szyfrowania (wytrych)

12-12-2018 20:07:24 Auth.Warning 192.168.0.222 1 2018-12-12T18:07:24.065140+00:00 CENTER ATA 4688 EncryptionDowngradeSuspi nieświadomyAct| powrót Microsoft| ATA|1.9.0.0| EncryptionDowngradeSuspiciousActivity| Działanie obniżania poziomu szyfrowania|5|start=2018-12-12T18:07:24.0222746Z app=Kerberos msg=Metoda szyfrowania pola ETYPE_INFO2 KRB_ERR komunikatu z W2012R2-000000-Server została obniżona na podstawie wcześniej poznanych zachowań. Może to być wynikiem skeleton key na DC1. externalId=2011 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e5c8ca1ec1250cafafe

Aktywność w przypadku podanych jako "honeytoken"

12-12-2018 19:51:52 Auth.Warning 192.168.0.222 1 2018-12-12T17:51:52.659618+00:00 CENTER ATA 4688 HoneytokenActivitySuspi nieświadomaAktywnośćActi|datku Microsoft| ATA|1.9.0.0| HoneytokenActivitySuspiciousActivity| Działanie jako "honeytoken|5|start=2018-12-12T17:51:52.5855994Z app=Kerberos suser=USR78982 msg= Następujące działania zostały wykonane przez USR78982 LAST78982:\r\nuwierzytelniony z komputera CLIENT1 przy użyciu NTLM podczas uzyskiwania dostępu do domeny domain1.test.local\cifs na kontrolerze domeny DC1. externalId=2014 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114ab88ca1ec1250ca7f76

Kradzież tożsamości przy użyciu ataku typu Pass-the-Hash

12-12-2018 19:56:02 Auth.Error 192.168.0.222 1 2018-12-12T17:56:02.047236+00:00 CENTER ATA 4688 PassTheHashSuspi nieświadomyActivity cale czk czkF:0| Microsoft| ATA|1.9.0.0| PassTheHashSuspiciousActivity| Kradzież tożsamości przy użyciu ataku typu Pass-the-Hash|10|start=2018-12-12T17:54:01.9582400Z app=Ntlm suser=USR46829 LAST46829 msg=USR46829 LAST46829' hash was stolen from one of the computers previously logged to by USR46829 LAST46829 and used from W2012R2-000000-Server. externalId=2017 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114bb28ca1ec1250caf673

Kradzież tożsamości przy użyciu ataku typu Pass-the-Ticket

12-12-2018 22:03:51 Auth.Error 192.168.0.222 1 2018-12-12T20:03:51.643633+00:00 CENTER ATA 4688 PassTheTicketSuspi nieświadomyActivity € czk czkF:0| Microsoft| ATA|1.9.0.0| PassTheTicketSuspiciousActivity| Kradzież tożsamości przy użyciu ataku typu Pass-the-Ticket|10|start=2018-12-12T17:54:12.9960662Z app=Kerberos suser=Birdie Lamb msg =Birdie Lamb (inżynier oprogramowania) bilety protokołu Kerberos zostały skradzione z W2012R2-000106-Server do W2012R2-000051-Server i używane do uzyskiwania dostępu do domeny domain1.test.local\host. externalId=2018 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b458ca1ec1250caf5b7

Działanie biletu uwierzytelniania Golden Ticket protokołu Kerberos

12-12-2018 19:53:26 Auth.Error 192.168.0.222 1 2018-12-12T17:53:26.869091+00:00 CENTER ATA 4688 GoldenTicketSuspi nieświadomyActivity € czk czkF:0| Microsoft| ATA|1.9.0.0| GoldenTicketSuspiciousActivity| Wykryto działanie biletu uwierzytelniania Golden Ticket protokołu Kerberos|10|start=2018-12-13T06:51:26.7290524Z app=Kerberos suser=Sonja Chadsey msg=Suspicious usage of Sonja Chadsey (Software Engineer) (Bilet Kerberos inżyniera oprogramowania), co wskazuje na potencjalny atak golden ticket. externalId=2022 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b168ca1ec1250caf556

Złośliwe żądanie informacji prywatnych o ochronie danych

12-12-2018 20:03:49 Auth.Error 192.168.0.222 1 2018-12-12T18:03:49.814620+00:00 CENTER ATA 4688 RetrieveDataProtectionBackupKeys cale lacji łówek:0| Microsoft| ATA|1.9.0.0| RetrieveDataProtectionBackupKeySuspiciousActivity| Złośliwe żądanie informacji prywatnych dotyczących ochrony danych|10|start=2018-12-12T17:58:56.3537533Z app=LsaRpc shost =W2012R2-000000-Server msg=Nieznany użytkownik wykonał 1 pomyślną próbę pobrania klucza kopii zapasowej domeny DPAPI z kontrolera domeny DC1 przez serwer W2012R2-000000-Server. externalId=2020 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114d858ca1ec1250caf983

Złośliwa replikacja usług katalogowych

12-12-2018 19:56:49 Auth.Error 192.168.0.222 1 2018-12-12T17:56:49.312648+00:00 CENTER ATA 4688 DirectoryServicesReplicationSusp| powrót Microsoft| ATA|1.9.0.0| DirectoryServicesReplicationSuspiciousActivity| Złośliwa replikacja usług katalogowych|10|start=2018-12-12T17:52:34.3287329Z app=Drsr shost=W2012R2-000000-Server msg=Malicious replication requests were successfully performed from W2012R2-000000-Server against DC1. outcome=Success externalId=2006 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114be18ca1ec1250caf6b8

Podwyżsenie poziomu uprawnień przy użyciu danych autoryzacji podszytej

12-12-2018 19:51:15 Auth.Error 192.168.0.222 1 2018-12-12T17:51:15.658608+00:00 CENTER ATA 4688 ForgedPacSuspi nieświadomyActivity € czk jejF:0| Microsoft| ATA|1.9.0.0| ForgedPacSuspiciousActivity| Eskalacja uprawnień przy użyciu danych autoryzacji z użyciem podszycia się|10|start=2018-12-12T17:51:15.0261128Z app=Kerberos suser=triservice msg=triservice próbowała eskalować uprawnienia do kontrolera DC1 z serwera W2012R2-000000-Server przy użyciu danych autoryzacji forged. externalId=2013 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a938ca1ec1250ca7f48

Rekonesans przy użyciu zapytań usług katalogowych

12-12-2018 20:23:52 Auth.Warning 192.168.0.222 1 2018-12-12T18:23:52.155531+00:00 CENTER ATA 4688 SamrReconnaissanceSuspi nieświadomaActiissaActi € czk issaF:0| Microsoft| ATA|1.9.0.0| SamrReconnaissanceSuspiciousActivity| Rekonesans przy użyciu zapytań usług katalogowych|5|start=2018-12-12T18:04:12.9868815Z app=Samr shost=W2012R2-000000-Server msg = następujące kwerendy usług katalogowych przy użyciu protokołu SAMR podjęto próbę dc1 z W2012R2-000000-Server:\r\npomyślnie kwerendy dotyczące konstruktorów przychodzących zaufania lasu (członkowie tej grupy mogą tworzyć przychodzące, jednokierunkowe zaufania do tego lasu) w domain1.test.local externalId=2021 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e758ca1ec1250cafb2e

Rekonesans przy użyciu wyliczania kont

1 2018-12-12T16:57:09.661680+00:00 CENTER ATA 4688 AccountEnumerationSuspiciousActi CEF:0| Microsoft| ATA|1.9.0.0| AccountEnumerationSuspiciousActivity| Rekonesans przy użyciu wyliczania kont|5|start=2018-12-12T16:57:09.1706828Z app=Kerberos shost=W2012R2-000000-Server msg=Suspicious account enumeration activity using Kerberos protocol, Wykryto pochodzących z W2012R2-000000-Server. Osoba atakująca wykonała łącznie 100 prób odgadnięcia dla nazw kont, 1 próba odgadnięcia pasuje do istniejących nazw kont w usłudze Active Directory. externalId=2003 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113de58ca1ec1250ca06d8

Rekonesans przy użyciu systemu DNS

1 2018-12-12T16:57:20.743634+00:00 CENTER ATA 4688 DnsReconnaissanceSuspiciousActiv CEF:0| Microsoft| ATA|1.9.0.0| DnsReconnaissanceSuspiciousActivity| Rekonesans przy użyciu usługi DNS|5|start=2018-12-12T16:57:20.2556472Z app=Dns shost=W2012R2-000000-Server msg=Zaobserwowano podejrzane działanie DNS. pochodzące z W2012R2-0000000-Server (który nie jest serwerem DNS) względem DC1. externalId=2007 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113df08ca1ec1250ca074c

Rekonesans przy użyciu wyliczania sesji SMB

12-12-2018 19:50:51 Auth.Warning 192.168.0.222 1 2018-12-12T17:50:51.090247+00:00 CENTER ATA 4688 EnumerateSessionsSuspi nieświadomyActiv € powiedz powiedzF:0| Microsoft| ATA|1.9.0.0| EnumerateSessionsSuspiciousActivity| Rekonesans przy użyciu wyliczania sesji SMB|5|start=2018-12-12T17:00:42.7234229Z app=SrvSvc shost=W2012R2-000000-Server msg=SMB session enumeration attempts failed from W2012R2-000000-Server against DC1 (Próby wyliczenia sesji SMB nie powiodły się z serwera W2012R2-000000-Server względem kontrolera DC1). Nie ujawniono żadnych kont. externalId=2012 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a788ca1ec1250ca7735

Wykryto próbę zdalnego wykonania

12-12-2018 19:58:45 Auth.Warning 192.168.0.222 1 2018-12-12T17:58:45.082799+00:00 CENTER ATA 4688 RemoteExecutionSuspi nieświadomyActivitcu|est Microsoft| ATA|1.9.0.0| RemoteExecutionSuspiciousActivity| Wykryto próbę zdalnego wykonania|5|start=2018-12-12T17:54:23.9523766Z shost=W2012R2-000000-Server msg = Następujące próby zdalnego wykonania zostały wykonane na kontrolerze domeny DC1 z W2012R2-0000000-Server:\r\nNie powiodło się zdalne planowanie co najmniej jednego zadania. externalId=2019 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114c548ca1ec1250caf783

Implementacja nietypowego protokołu

1 2018-12-12T16:50:46.930234+00:00 CENTER ATA 4688 AbnormalProtocolSuspiciousActivi CEF:0| Microsoft| ATA|1.9.0.0| AbnormalProtocolSuspiciousActivity| Implementacja nietypowego protokołu|5|start=2018-12-12T16:48:46.6480337Z app=Ntlm shost=W2012R2-000000-Server outcome=Success msg=triservice successfully authenticated from W2012R2-000000-Server against DC1 using an unusual protocol implementation (Wynik serwera W2012R2-000000-Server w przypadku kontrolera DC1 przy użyciu nietypowej implementacji protokołu). Przyczyną może być użycie złośliwych narzędzi służących na przykład do wykonywania ataków typu Pass-the-Hash lub ataków siłowych. externalId=2002 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c668ca1ec1250ca0397

Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania

1 2018-12-12T16:50:35.746877+00:00 CENTER ATA 4688 AbnormalBehaviorSuspiciousActivi CEF:0| Microsoft| ATA|1.9.0.0| AbnormalBehaviorSuspiciousActivity| Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania|5|start=2018-12-12T16:48:35.5501183Z app=Kerberos suser = USR45964 msg = USR45964 LAST45964 wykazuje nietypowe zachowanie podczas wykonywania działań, które nie były widoczne w ciągu ostatniego miesiąca i również nie są zgodne z działaniami innych kont w organizacji. Nietypowe zachowanie jest oparte na następujących działaniach: \r\nwykonano logowanie interakcyjne z 30 nietypowych stacji roboczych.\r\nzażądano dostępu do 30 nietypowych zasobów. externalId=2001 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c5b8ca1ec1250ca0355

Podejrzane błędy uwierzytelniania

12-12-2018 19:50:34 Auth.Warning 192.168.0.222 1 2018-12-12T17:04:25.214067+00:00 CENTER ATA 4688 BruteForceSuspi nieświadomyActivity cale czk czkF:0| Microsoft| ATA|1.9.0.0| BruteForceSuspiciousActivity| Podejrzane błędy uwierzytelniania|5|start=2018-12-12T17:03:58.5892462Z app=Kerberos shost =W2012R2-000106-Server msg=Podejrzane niepowodzenia uwierzytelniania wskazujące, że wykryto potencjalny atak siłowy z serwera W2012R2-000106-Server. externalId=2023 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113f988ca1ec1250ca5810

Tworzenie podejrzanej usługi

12-12-2018 19:53:49 Auth.Warning 192.168.0.222 1 2018-12-1 2T17:53:49.913034+00:00 CENTER ATA 4688 MaliciousServiceCreationSuspicio cale czk czkF:0| Microsoft| ATA|1.9.0.0| MaliciousServiceCreationSuspiciousActivity| Podejrzane tworzenie usługi|5|start=2018-12-12T19:53:49.0000000Z app=ServiceInstalledEvent shost =W2012R2-000000-Server msg=triservice created FakeService w celu wykonania potencjalnie złośliwych poleceń na serwerze W2012R2-000000-Server. externalId=2026 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b2d8ca1ec1250caf577

Alerty dotyczące kondycji

GatewayDisconnectedMonitoringAlert

1 2018-12-12T16:52:41.520759+00:00 CENTER ATA 4688 GatewayDisconnectedMonitoringAle CEF:0| Microsoft| ATA|1.9.0.0| GatewayDisconnectedMonitoringAlert| GatewayDisconnectedMonitoringAlert|5|externalId=1011 cs1Label=url cs1=https://192.168.0.220/monitoring msg=Nie nawiązano komunikacji z centrum bramy przez 5 minut. Ostatnia komunikacja miała 2018-12-12 16:47:03 CZASU UTC.

GatewayStartFailureMonitoringAlert

1 2018-12-12T15:36:59.701097+00:00 CENTER ATA 1372 GatewayStartFailureMonitoringAle CEF:0| Microsoft| ATA|1.9.0.0| GatewayStartFailureMonitoringAlert| Nie można uruchomić bramy GatewayStartFailureMonitoringAlert|5|externalId=1018 cs1Label=url cs1=https://192.168.0.220/monitoring msg=Nie można uruchomić usługi bramy na kontrolerze domeny DC1. Po raz ostatni był uruchomiony 12.01.2018 15:04:12 UTC.

Uwaga

Wszystkie alerty dotyczące kondycji są wysyłane przy użyciu tego samego szablonu, co powyżej.

Zobacz też