Configurar coleta de eventos

Para aprimorar os recursos de detecção, Microsoft Defender para Identidade precisa dos eventos do Windows listados na coleção configurar eventos. Esses eventos podem ser lidos automaticamente pelo sensor do Defender para Identidade ou, caso o sensor do Defender para Identidade não seja implantado, ele pode ser encaminhado para o sensor autônomo do Defender para Identidade de uma das duas maneiras, configurando o sensor autônomo do Defender para Identidade para escutar eventos SIEM ou configurando o Encaminhamento de Eventos do Windows.

Observação

  • Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.

Além de coletar e analisar o tráfego de rede de e para os controladores de domínio, o Defender para Identidade pode usar eventos do Windows para aprimorar ainda mais as detecções. Esses eventos podem ser recebidos de seu SIEM ou definindo o Encaminhamento de Eventos do Windows no controlador de domínio. Os eventos coletados fornecem ao Defender para Identidade informações adicionais que não estão disponíveis por meio do tráfego de rede do controlador de domínio.

SIEM/Syslog

Os sensores autônomos do Defender para Identidade são configurados por padrão para receber dados do Syslog. Para que os sensores autônomos do Defender para Identidade possam consumir os dados necessários para encaminhar seus dados do Syslog para o sensor.

Observação

O Defender para Identidade escuta apenas no IPv4 e não no IPv6.

Importante

  • Não encaminhe todos os dados do Syslog para o sensor do Defender para Identidade.
  • O Defender para Identidade dá suporte ao tráfego UDP do servidor SIEM/Syslog.

Consulte a documentação de produto do seu servidor SIEM/Syslog para saber como configurar o encaminhamento de eventos específicos para outro servidor.

Observação

Se você não usar um servidor SIEM/Syslog, poderá configurar seus controladores de domínio do Windows para encaminhar todos os eventos necessários a serem coletados e analisados pelo Defender para Identidade.

Configurar o sensor do Defender para Identidade para escutar eventos de SIEM

  • Configure seu SERVIDOR SIEM ou Syslog para encaminhar todos os eventos necessários para o endereço IP de um dos sensores autônomos do Defender para Identidade. Para saber mais sobre como configurar o SIEM, confira a ajuda online do SIEM ou opções de suporte técnico para obter os requisitos de formatação específica para cada servidor SIEM.

O Defender para Identidade dá suporte a eventos SIEM nos seguintes formatos:

Análise de Segurança do RSA

<Cabeçalho do Syslog>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • O cabeçalho do Syslog é opcional.

  • O separador de caractere "\n" é necessário entre todos os campos.

  • Os campos, em ordem, são:

    1. Constante RsaSA (deve aparecer).
    2. O carimbo de data/hora do evento real (verifique se não é o carimbo de data/hora da chegada ao SIEM ou quando ele é enviado ao Defender para Identidade). Preferencialmente com a precisão em milissegundos, isso é importante.
    3. A ID de evento do Windows
    4. O nome do provedor de eventos do Windows
    5. O nome do log de eventos do Windows
    6. O nome do computador que está recebendo o evento (o controlador de domínio neste caso)
    7. O nome do usuário que está autenticando
    8. O nome do host de origem
    9. O código resultante do NTLM
  • A ordem é importante, e nada mais deve ser incluído na mensagem.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|O controlador de domínio tentou validar as credenciais de uma conta.|Baixo| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Motivo ou Código de erro

  • Deve estar em conformidade com a definição de protocolo.

  • Nenhum cabeçalho de syslog.

  • A parte do cabeçalho (a parte separada por uma barra vertical) deve existir (como mencionado no protocolo).

  • As seguintes chaves na parte Extensão devem estar presentes no evento:

    • externalId = a ID de evento do Windows
    • rt = o carimbo de data/hora do evento real (verifique se não é o carimbo de data/hora da chegada ao SIEM ou quando ele é enviado para o Defender para Identidade). Preferencialmente com a precisão em milissegundos, isso é importante.
    • cat = o nome do log de eventos do Windows
    • shost = o nome do host de origem
    • dhost = o computador que está recebendo o evento (o controlador de domínio neste caso)
    • duser = o usuário que está autenticando
  • A ordem não é importante para a parte Extensão

  • Deve haver uma chave personalizada e um keyLable para esses dois campos:

    • "EventSource"
    • "Motivo ou Código de erro" = o código resultante do NTLM

Splunk

<Cabeçalho do Syslog>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

O computador tentou validar as credenciais de uma conta.

Página de autenticação: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Conta de logon: Administrador

Estação de Trabalho de Origem: SIEM

Código de erro: 0x0

  • O cabeçalho do Syslog é opcional.

  • Há um separador de caracteres "\r\n" entre todos os campos obrigatórios. Observe que esses são os caracteres de controle CRLF (0D0A em hexadecimal), e não caracteres literais.

  • Os campos estão no formato chave=valor.

  • As chaves a seguir devem existir e ter um valor:

    • EventCode = a ID de evento do Windows
    • Logfile = o nome do log de eventos do Windows
    • SourceName = o nome do provedor de eventos do Windows
    • TimeGenerated = o carimbo de data/hora do evento real (verifique se não é o carimbo de data/hora da chegada ao SIEM ou quando ele é enviado para o Defender para Identidade). O formato deve corresponder a aaaaMMddHHmmss.FFFFFF, preferencialmente com precisão de milissegundos, isso é importante.
    • ComputerName = o nome do host de origem
    • Mensagem = o texto do evento original do evento do Windows
  • A Chave da Mensagem e o valor DEVEM ser os últimos.

  • A ordem não é importante para os pares de chave=valor

QRadar

O QRadar permite a coleta de eventos por meio de um agente. Se os dados forem reunidos usando um agente, o formato de hora será coletado sem dados de milissegundos. Como o Defender para Identidade requer dados de milissegundos, é necessário definir o QRadar para usar a coleção de eventos do Windows sem agente. Para obter mais informações, consulte https://www-01.ibm.com/support/docview.wss?uid=swg21700170 MSRPC.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Os campos necessários são:

  • O tipo de agente para a coleta

  • O nome do provedor do log de eventos do Windows

  • A fonte do log de eventos do Windows

  • O nome de domínio totalmente qualificado do DC

  • A ID de evento do Windows

TimeGenerated é o carimbo de data/hora do evento real (verifique se não é o carimbo de data/hora da chegada ao SIEM ou quando ele é enviado para o Defender para Identidade). O formato deve corresponder a aaaaMMddHHmmss.FFFFFF, preferencialmente com precisão de milissegundos, isso é importante.

A mensagem é o texto do evento original do evento do Windows

Certifique-se de ter \t entre os pares de chave=valor.

Observação

Não há suporte ao uso do WinCollect para a coleta de eventos do Windows.

Confira também