Ouça os eventos SIEM no sensor autônomo do Defender for Identity

  • Artigo

Este artigo descreve a sintaxe de mensagem necessária ao configurar um sensor autônomo do Defender for Identity para escutar tipos de eventos SIEM suportados. Escutar eventos SIEM é um método para aprimorar suas habilidades de deteção com eventos extras do Windows que não estão disponíveis na rede do controlador de domínio.

Para obter mais informações, consulte Visão geral da coleta de eventos do Windows.

Importante

Os sensores autónomos do Defender for Identity não suportam a recolha de entradas de registo ETW (Event Tracing for Windows) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implantação do sensor Defender for Identity.

Análise de segurança RSA

Use a seguinte sintaxe de mensagem para configurar seu sensor autônomo para ouvir eventos do RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Nesta sintaxe:

  • O cabeçalho syslog é opcional.

  • O \n separador de caracteres é obrigatório entre todos os campos.

  • Os campos, por ordem, são:

    1. (Obrigatório) Constante RsaSA
    2. O carimbo de data/hora do evento real. Certifique-se de que não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender for Identity. É altamente recomendável usar uma precisão de milissegundos.
    3. A ID do evento do Windows
    4. O nome do provedor de eventos do Windows
    5. O nome do log de eventos do Windows
    6. O nome do computador que recebe o evento, como o controlador de domínio
    7. O nome do usuário autenticando
    8. O nome do host de origem
    9. O código de resultado do NTLM

Importante

A ordem dos campos é importante e nada mais deve ser incluído na mensagem.

MicroFocus ArcSight

Use a sintaxe da seguinte mensagem para configurar seu sensor autônomo para ouvir eventos do MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Nesta sintaxe:

  • Sua mensagem deve estar em conformidade com a definição de protocolo.

  • Nenhum cabeçalho syslog está incluído.

  • A parte do coletor, separada por um tubo (|) deve ser incluída, conforme indicado no protocolo

  • As seguintes chaves na parte Extensão devem estar presentes no evento:

    Key Description
    Identificação externa A ID do evento do Windows
    RT O carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender for Identity. Certifique-se também de usar uma precisão de milissegundos.
    gato O nome do log de eventos do Windows
    Shost O nome do host de origem
    Dhost O computador que recebe o evento, como o controlador de domínio
    duser A autenticação do usuário

    A ordem não é importante para a parte de Extensão .

  • Você deve ter uma chave personalizada e keyLable para os seguintes campos:

    • EventSource
    • Reason or Error Code = O código de resultado do NTLM

Splunk

Use a seguinte sintaxe de mensagem para configurar seu sensor autônomo para ouvir eventos Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Nesta sintaxe:

  • O cabeçalho syslog é opcional.

  • Há um \r\n separador de caracteres entre todos os campos obrigatórios. Estes são CRLF caracteres de controle, (0D0A em hex), e não caracteres literais.

  • Os campos estão em key=value formato.

  • As seguintes chaves devem existir e ter um valor:

    Nome Descrição
    Código do Evento A ID do evento do Windows
    Ficheiro de registo O nome do log de eventos do Windows
    Nome da fonte O nome do provedor de eventos do Windows
    Gerado por tempo O carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender for Identity. O formato de carimbo de data/hora deve ser The format should match yyyyMMddHHmmss.FFFFFF, e você deve usar uma precisão de milissegundos.
    ComputerName O nome do host de origem
    Mensagem O texto original do evento do Windows

  • A chave de mensagem e o valor devem ser os últimos.

  • A ordem não é importante para os pares chave=valor.

É apresentada uma mensagem semelhante à seguinte:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

O QRadar permite a recolha de eventos através de um agente. Se os dados forem coletados usando um agente, o formato de hora será coletado sem dados de milissegundos.

Como o Defender for Identity precisa de dados de milissegundos, você deve primeiro configurar o QRadar para usar a coleta de eventos do Windows sem agente. Para obter mais informações, consulte QRadar: Coleção de eventos do Windows sem agente usando o protocolo MSRPC.

Use a seguinte sintaxe de mensagem para configurar seu sensor autônomo para ouvir eventos QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Nesta sintaxe, você deve incluir os seguintes campos:

  • O tipo de agente para a coleção
  • O nome do provedor de log de eventos do Windows
  • A origem do log de eventos do Windows
  • O nome de domínio totalmente qualificado DC
  • A ID do evento do Windows
  • TimeGenerated, que é o carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender for Identity. O formato de carimbo de data/hora deve ser The format should match yyyyMMddHHmmss.FFFFFF, e deve ter uma precisão de milissegundos.

Verifique se a mensagem inclui o texto original do evento do Windows e se você tem \t entre os pares key=value.

Nota

Não há suporte para o uso da coleção de eventos WinCollect para Windows.

Conteúdos relacionados

Para obter mais informações, consulte: