Dokumentacja dziennika SIEM usługi ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
Usługa ATA może przekazywać zdarzenia alertów dotyczących zabezpieczeń i kondycji do rozwiązania SIEM. Alerty są przekazywane dalej w formacie CEF. Poniżej znajduje się przykład każdego typu dziennika alertów zabezpieczeń, który ma zostać wysłany do rozwiązania SIEM.
Przykładowe alerty zabezpieczeń usługi ATA w formacie CEF
Następujące pola i ich wartości są przekazywane do rozwiązania SIEM:
- start — czas uruchomienia alertu
- suser — konto (zwykle konto użytkownika), biorące udział w alercie
- shost — maszyna źródłowa alertu
- wynik — alerty ze zdefiniowanymi działaniami powodzeniem lub niepowodzeniem wykonanym w alercie
- msg — opis alertu
- cnt — alerty z liczbą liczby wystąpień alertu (na przykład siłowe ma ilość odgadniętych haseł)
- app — protokół alertów
- externalId — usługa ATA o identyfikatorze zdarzenia zapisuje w dzienniku zdarzeń, który odpowiada alertowi*
- cs#label & cs# — ciągi klienta, które CEF zezwala na używanie etykiety cs#, to nazwa nowego pola, a cs# to wartość, na przykład: cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5909ae198ca1ec04d05e65fa
W tym przykładzie cs1 to pole, które ma adres URL alertu.
*Jeśli tworzysz skrypty lub automatyzację na podstawie dzienników, użyj trwałego identyfikatora externalID każdego dziennika zamiast używania nazw dzienników, ponieważ nazwy dzienników mogą ulec zmianie bez powiadomienia.
| Nazwy alertów | Identyfikatory zdarzeń alertów |
|---|---|
| 2001 | Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania |
| 2002 | Nietypowa implementacja protokołu |
| 2003 | Rekonesans przy użyciu wyliczenia konta |
| 2004 | Atak siłowy przy użyciu prostego powiązania LDAP |
| 2006 | Złośliwa replikacja usług katalogowych |
| 2007 | Rekonesans przy użyciu systemu DNS |
| 2008 | Działanie obniżania poziomu szyfrowania |
| 2009 | Działanie obniżania poziomu szyfrowania (potencjalny złoty bilet) |
| 2010 | Działanie obniżania poziomu szyfrowania (potencjalne wiadukt-the-hash) |
| 2011 | Działanie obniżania poziomu szyfrowania (potencjalny klucz szkieletu) |
| 2012 | Rekonesans przy użyciu wyliczenia sesji SMB |
| 2013 | Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji |
| 2014 | Działanie honeytoken |
| 2016 | Usuwanie obiektów masywnych |
| 2017 | Kradzież tożsamości przy użyciu ataku Pass-the-Hash |
| 2018 | Kradzież tożsamości przy użyciu ataku z użyciem biletu |
| 2019 | Wykryto próbę zdalnego wykonania |
| 2020 | Żądanie informacji prywatnych o złośliwej ochronie danych |
| 2021 | Rekonesans przy użyciu zapytań usług katalogowych |
| 2022 | Działanie protokołu Kerberos Golden Ticket |
| 2023 | Podejrzane błędy uwierzytelniania |
| 2024 | Nietypowa modyfikacja wrażliwych grup |
| 2026 | Podejrzane tworzenie usługi |
Przykładowe dzienniki
Priorytety: 3=Niski 5=Średni 10=Wysoki
Nietypowa modyfikacja wrażliwych grup
1 2018-12-12T16:53:22.925757+00:00 CENTER ATA 4688 AbnormalSensitiveGroupMembership CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|AbnormalSensitiveGroupMembershipChangeSuspiciousActivity|Nietypowa modyfikacja grup poufnych|5|start=2018-12-12T18:52:58.0000000Z app=GroupMembershipChangeEvent suser=krbtgt msg=krbtgt ma nietypowo zmodyfikowane członkostwa w grupach poufnych. externalId=2024 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113d028ca1ec1250ca0491
Atak siłowy przy użyciu prostego powiązania LDAP
12-12-2018 19:52:18 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:52:18.899690+00:00 CENTER ATA 4688 LdapBruteForceSuspiciousActivity ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|LdapBruteForceSuspiciousActivity|Atak siłowy przy użyciu prostego powiązania LDAP|5|start=2018-12-12T17:52:10.2350665Z app=Ldap msg=10000 prób odgadnięcia hasła na 100 kontach z W2012R2-000000-Server. Jedno hasło konta zostało pomyślnie odgadnąć. externalId=2004 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114acb8ca1ec1250cacdcb
Działanie obniżania poziomu szyfrowania (Złoty bilet)
12-12-2018 20:12:35 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T18:12:35.105942+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Działanie obniżania poziomu szyfrowania|5|start=2018-12-12T18:10:35.0334169Z app=Kerberos msg=Metoda szyfrowania pola TGT komunikatu TGS_REQ z W2012R2-000000-Server została obniżona na podstawie wcześniej poznanego zachowania. Może to być wynikiem użycia złotego biletu na serwerze W2012R2-0000000. externalId=2009 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114f938ca1ec1250cafcfa
Działanie obniżania poziomu szyfrowania (overpass-the-hash)
12-12-2018 19:00:31 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:00:31.963485+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Działanie obniżania poziomu szyfrowania|5|start=2018-12-12T17:00:31.2975188Z app=Kerberos msg=Metoda szyfrowania pola Encrypted_Timestamp komunikatu AS_REQ z W2012R2-0000000-Server została obniżona na podstawie wcześniej poznanego zachowania. Może to być wynikiem kradzieży poświadczeń przy użyciu polecenia Overpass-the-Hash z W2012R2-000000-Server. externalId=2010 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113eaf8ca1ec1250ca0883
Działanie obniżania poziomu szyfrowania (Skeleton Key)
12-12-2018 20:07:24 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T18:07:24.065140+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Działanie obniżania poziomu szyfrowania|5|start=2018-12-12T18:07:24.0222746Z app=Kerberos msg=Metoda szyfrowania pola ETYPE_INFO2 komunikatu KRB_ERR z W2012R2-0000000-Server została obniżona na podstawie wcześniej poznanego zachowania. Może to być wynikiem szkieletu klucza na dc1. externalId=2011 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e5c8ca1ec1250cafafe
Działanie honeytoken
12-12-2018 19:51:52 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:51:52.659618+00:00 CENTER ATA 4688 HoneytokenActivitySuspiciousActi ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|HoneytokenActivitySuspiciousActivity|Honeytoken activity|5|start=2018-12-12T17:51:52.5855994Z app=Kerberos suser=USR78982 msg=Następujące działania zostały wykonane przez USR78982 LAST78982:\r\nUwierzytelnione z CLIENT1 przy użyciu protokołu NTLM podczas uzyskiwania dostępu do domeny domain1.test.local\cifs na kontrolerze DOMENY1. externalId=2014 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114ab88ca1ec1250ca7f76
Kradzież tożsamości przy użyciu ataku Pass-the-Hash
12-12-2018 19:56:02 Uwierzytelnianie.Błąd 192.168.0.222 1 2018-12-12T17:56:02.047236+00:00 CENTER ATA 4688 PassTheHashSuspiciousActivity ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|PassTheHashSuspiciousActivity|Kradzież tożsamości przy użyciu ataku Pass-the-Hash|10|start=2018-12-12T17:54:01.9582400Z app=Ntl suser=USR46829 LAST46829 skrót msg=USR46829 LAST46829 został skradziony z jednego z komputerów wcześniej zalogowanych przez USR46829 LAST46829 i używanych z W2012R2-000000-Server. externalId=2017 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114bb28ca1ec1250caf673
Kradzież tożsamości przy użyciu ataku z użyciem biletu
12-12-2018 22:03:51 Uwierzytelnianie.Błąd 192.168.0.222 1 2018-12-12T20:03:51.643633+00:00 CENTER ATA 4688 PassTheTicketSuspiciousActivity ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|PassTheTicketSuspiciousActivity|Kradzież tożsamości przy użyciu ataku z użyciem biletu|10|start=2018-12-12T17:54:12.9960662Z app=Kerberos suser=Birdie Lamb Msg = Birdie Lamb (Software Engineer) bilety Kerberos zostały skradzione z W2012R2-000106-Server do W2012R2-000051-Server i używane do dostępu domain1.test.local\host. externalId=2018 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b458ca1ec1250caf5b7
Działanie protokołu Kerberos Golden Ticket
12-12-2018 19:53:26 Uwierzytelnianie.Błąd 192.168.0.222 1 2018-12-12T17:53:26.869091+00:00 CENTER ATA 4688 GoldenTicketSuspiciousActivity ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|GoldenTicketSuspiciousActivity|Wykryto działanie złotego biletu Kerberos|10|start=2018-12-13T06:51:26.7290524Z app=Kerberos suser=Sonja Chadsey msg=Podejrzane użycie biletu Kerberos Sonji Chadsey (inżyniera oprogramowania), co wskazuje na potencjalny atak na złoty bilet. externalId=2022 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b168ca1ec1250caf556
Żądanie informacji prywatnych o złośliwej ochronie danych
12-12-2018 20:03:49 Uwierzytelnianie.Błąd 192.168.0.222 1 2018-12-12T18:03:49.814620+00:00 CENTER ATA 4688 RetrieveDataProtectionBackupKeyS ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|RetrieveDataProtectionBackupKeySuspiciousActivity|Żądanie prywatnych informacji o złośliwej ochronie danych|10|start=2018-12-12T17:58:56.3537533Z app=LsaRpc shost=W2012R2-000000-Server msg=Nieznany użytkownik wykonał 1 pomyślną próbę z W2012R2-000000-Server w celu pobrania klucza kopii zapasowej domeny DPAPI z kontrolera DOMENY 1. externalId=2020 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114d858ca1ec1250caf983
Złośliwa replikacja usług katalogowych
12-12-2018 19:56:49 Uwierzytelnianie.Błąd 192.168.0.222 1 2018-12-12T17:56:49.312648+00:00 CENTER ATA 4688 DirectoryServicesReplicationSusp ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|DirectoryServicesReplicationSuspiciousActivity|Złośliwa replikacja usług katalogowych|10|start=2018-12-12T17:52:34.3287329Z app=Drsr shost=W2012R2-000000-Server msg=Złośliwe żądania replikacji zostały pomyślnie wykonane z W2012R2-0000000-Server względem kontrolera DC1. outcome=Success externalId=2006 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114be18ca1ec1250caf6b8
Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji
12-12-2018 19:51:15 Uwierzytelnianie.Błąd 192.168.0.222 1 2018-12-12T17:51:15.658608+00:00 CENTER ATA 4688 ForgedPacSuspiciousActivity ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|ForgedPacSuspiciousActivity|Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji|10|start=2018-12-12T17:51:15.0261128Z app=Kerberos suser=triservice msg=triservice próbował eskalować uprawnienia względem kontrolera DC1 z W2012R2-000000-Server przy użyciu sfałszowanych danych autoryzacji. externalId=2013 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a938ca1ec1250ca7f48
Rekonesans przy użyciu zapytań usług katalogowych
12-12-2018 20:23:52 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T18:23:52.155531+00:00 CENTER ATA 4688 SamrReconnaissanceSuspiciousActi ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|SamrReconnaissanceSuspiciousActivity|Rekonesans przy użyciu zapytań usług katalogowych|5|start=2018-12-12T18:04:12.9868815Z app=Samr shost=W2012R2-000 -Server msg=Następujące zapytania usług katalogowych używające protokołu SAMR zostały próbowane względem kontrolera DC1 z W2012R2-000000-Server:\r\nPomyślne zapytanie dotyczące przychodzących konstruktorów zaufania lasu (członkowie tej grupy mogą tworzyć przychodzące, zaufania jednokierunkowego do tego lasu) w domenie domain1.test.local externalId=2021 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e758ca1ec1250cafb2e
Rekonesans przy użyciu wyliczenia konta
1 2018-12-12T16:57:09.661680+00:00 CENTER ATA 4688 AccountEnumerationSuspiciousActi CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|AccountEnumerationSuspiciousActivity|Wykryto rekonesans przy użyciu wyliczenia konta|5|start=2018-12-12T16:57:09.1706828Z app=Kerberos shost=W2012R2-000000-Server msg=Podejrzane działanie wyliczania konta przy użyciu protokołu Kerberos pochodzące z W2012R2-000000-Server. Osoba atakująca wykonała łącznie 100 prób odgadnięcia nazw kont. 1 próba odgadnięcia odpowiadała istniejącym nazwom kont w usłudze Active Directory. externalId=2003 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113de58ca1ec1250ca06d8
Rekonesans przy użyciu systemu DNS
1 2018-12-12T16:57:20.743634+00:00 CENTER ATA 4688 DnsReconnaissanceSuspiciousActiv CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|DnsReconnaissanceSuspiciousActivity|Rekonesans przy użyciu systemu DNS|5|start=2018-12-12T16:57:20.2556472Z app=Dns shost=W2012R2-000000-Server msg=Podejrzane działanie DNS zostało zaobserwowane, pochodzące z W2012R2-0000000-Server (który nie jest serwerem DNS) względem kontrolera DC1. externalId=2007 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113df08ca1ec1250ca074c
Rekonesans przy użyciu wyliczenia sesji SMB
12-12-2018 19:50:51 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:50:51.090247+00:00 CENTER ATA 4688 EnumerateSessionsSuspiciousActiv ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|EnumerateSessionsSuspiciousActivity|Rekonesans przy użyciu wyliczenia sesji SMB|5|start=2018-12-12T17:00:42.7234229Z app=SrvSvc shost=W2012R2-000000-Server msg=SMB session session enumeration attempts failed from W2012R2-000000-Server against DC1. Nie ujawniono żadnych kont. externalId=2012 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a788ca1ec1250ca7735
Wykryto próbę zdalnego wykonania
12-12-2018 19:58:45 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:58:45.082799+00:00 CENTER ATA 4688 RemoteExecutionSuspiciousActivit ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|RemoteExecutionSuspiciousActivity|Wykryto próbę zdalnego wykonania|5|start=2018-12-12T17:54:23.9523766Z shost=W2012R2-000000-Server msg=Następujące próby zdalnego wykonywania zostały wykonane na kontrolerze DOMENY1 z W2012R2-0000000-Server:\r\nNie powiodło się zdalne planowanie co najmniej jednego zadania. externalId=2019 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114c548ca1ec1250caf783
Nietypowa implementacja protokołu
1 2018-12-12T16:50:46.930234+00:00 CENTER ATA 4688 AbnormalProtocolSuspiciousActivi CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|AbnormalProtocolSuspiciousActivity|Nietypowa implementacja protokołu|5|start=2018-12-12T16:48:46.6480337Z app=Ntlm shost=W2012R2-000000-Server outcome=Success msg=triservice successfully authenticated from W2012R2-000000-Server against DC1 using an unusual protocol implementation (Nietypowa implementacja protokołu). Może to być wynikiem złośliwych narzędzi używanych do wykonywania ataków, takich jak Pass-the-Hash i brutalna siła. externalId=2002 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c668ca1ec1250ca0397
Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania
1 2018-12-12T16:50:35.746877+00:00 CENTER ATA 4688 AbnormalBehaviorSuspiciousActivi CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|AbnormalBehaviorSuspiciousActivity|Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania|5|start=2018-12-12T16:48:35.5501183Z app=Kerberos suser=USR45964 msg=USR45964 LAST45964 wykazywało nietypowe zachowanie podczas wykonywania działań, które nie były widoczne w ciągu ostatniego miesiąca i również nie są zgodne z działaniami innych kont w organizacji. Nietypowe zachowanie jest oparte na następujących działaniach: \r\nWykonano interaktywne logowanie z 30 nietypowych stacji roboczych.\r\nZażądano dostępu do 30 nietypowych zasobów. externalId=2001 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c5b8ca1ec1250ca0355
Podejrzane błędy uwierzytelniania
12-12-2018 19:50:34 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:04:25.214067+00:00 CENTER ATA 4688 BruteForceSuspiciousActivity ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|BruteForceSuspiciousActivity|Podejrzane błędy uwierzytelniania|5|start=2018-12-12T17:03:58.5892462Z app=Kerberos shost=W2012R2-000106-Server msg=Podejrzane błędy uwierzytelniania wskazujące na potencjalny atak siłowy wykryto z W2012R2-000106-Server. externalId=2023 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113f988ca1ec1250ca5810
Podejrzane tworzenie usługi
12-12-2018 19:53:49 Uwierzytelnianie.Ostrzeżenie 192.168.0.222 1 2018-12-12T17:53:49.913034+00:00 CENTER ATA 4688 MaliciousServiceCreationSuspicio ‹ ̄ ̈CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|MaliciousServiceCreationSuspiciousActivity|Podejrzane tworzenie usługi|5|start=2018-12-12T19:53:49.0000000Z app=ServiceInstalledEvent shost=W2012R2-000000-Server msg=triservice created FakeService w celu wykonania potencjalnie złośliwych poleceń na W2012R2-000000-Server. externalId=2026 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b2d8ca1ec1250caf577
Alerty dotyczące kondycji
GatewayDisconnectedMonitoringAlert
1 2018-12-12T16:52:41.520759+00:00 CENTER ATA 4688 GatewayDisconnectedMonitoringAle CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|GatewayDisconnectedMonitoringAlert|GatewayDisconnectedMonitoringAlert|5|externalId=1011 cs1Label=url cs1=https://192.168.0.220/monitoring msg=Nie było komunikacji z centrum bramy przez 5 minut. Ostatnia komunikacja odbyła się 12.12.2018 16:47:03 UTC.
GatewayStartFailureMonitoringAlert
1 2018-12-12T15:36:59.701097+00:00 CENTER ATA 1372 GatewayStartFailureMonitoringAle CEF:0|Microsoft|USŁUGA ATA|1.9.0.0|GatewayStartFailureMonitoringAlert|GatewayStartFailureMonitoringAlert|5|externalId=1018 cs1Label=url cs1=https://192.168.0.220/monitoring msg=Nie można uruchomić usługi bramy na kontrolerze DOMENY 1. Ostatni raz widziano ją 12.12.2018 15:04:12 UTC.
Uwaga
Wszystkie alerty dotyczące kondycji są wysyłane z tym samym szablonem, co powyżej.