Ouvir eventos SIEM no sensor autônomo do Defender para Identidade

Este artigo descreve a sintaxe de mensagem obrigatória ao configurar um sensor autônomo do Defender para Identidade para escutar tipos de eventos SIEM compatíveis. Escutar eventos SIEM é um método para aprimorar suas habilidades de detecção com eventos extras do Windows que não estão disponíveis na rede do controlador de domínio.

Para obter mais informações, consulte Visão geral da coleta de eventos do Windows.

Importante

Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.

RSA Security Analytics

Use a seguinte sintaxe de mensagem para configurar o sensor autônomo para escutar eventos do RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Nesta sintaxe:

  • O cabeçalho syslog é opcional.

  • O separador de caracteres \n é obrigatório entre todos os campos.

  • Os campos, em ordem, são:

    1. (Obrigatória) Constante RsaSA
    2. O carimbo de data/hora do evento. Certifique-se de que não seja o carimbo de data/hora da chegada ao SIEM nem do envio ao Defender para Identidade. É altamente recomendado usar uma precisão de milissegundos.
    3. O ID de evento do Windows
    4. O nome do provedor de eventos do Windows
    5. O nome do log de eventos do Windows
    6. O nome do computador que recebe o evento, como o controlador de domínio
    7. O nome do usuário que está autenticando
    8. O nome de host da fonte de dados
    9. O código de resultado do NTLM

Importante

A ordem dos campos é importante e nada mais deve ser incluído na mensagem.

Micro Focus ArcSight

Use a seguinte sintaxe de mensagem para configurar o sensor autônomo para ouvir eventos do MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Nesta sintaxe:

  • A mensagem deve estar em conformidade com a definição do protocolo.

  • Nenhum cabeçalho syslog é incluído.

  • A parte do cabeçalho, separada por um pipe (|) deve ser incluída, conforme indicado no protocolo

  • As seguintes chaves na parte da Extensão devem estar presentes no evento:

    Chave Descrição
    externalId O ID de evento do Windows
    rt O carimbo de data/hora do evento. Certifique-se de que o valor não seja o carimbo de data/hora da chegada ao SIEM nem do envio ao Defender para Identidade. Certifique-se também de usar uma precisão de milissegundos.
    cat O nome do log de eventos do Windows
    shost O nome do host de origem
    dhost O computador que recebe o evento, como o controlador de domínio
    duser O usuário que está autenticando.

    A ordem não é importante para a parte da Extensão.

  • Você precisa ter uma chave personalizada e uma keyLabel para os seguintes campos:

    • EventSource
    • Reason or Error Code = O código de resultado do NTLM

Splunk

Use a seguinte sintaxe de mensagem para configurar o sensor autônomo para ouvir eventos do Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Nesta sintaxe:

  • O cabeçalho syslog é opcional.

  • Inclua um separador de caracteres \r\n entre todos os campos obrigatórios. Eles são caracteres de controle CRLF (0D0A em hexa), e não caracteres literais.

  • Os campos estão no formato key=value.

  • As seguintes chaves devem existir e ter um valor:

    Nome Descrição
    EventCode O ID de evento do Windows
    Logfile O nome do log de eventos do Windows
    SourceName O nome do provedor de eventos do Windows
    TimeGenerated O carimbo de data/hora do evento. Certifique-se de que o valor não seja o carimbo de data/hora da chegada ao SIEM nem do envio ao Defender para Identidade. O formato do carimbo de data/hora deve ser The format should match yyyyMMddHHmmss.FFFFFF, e você deve usar uma precisão de milissegundos.
    ComputerName O nome do host de origem
    Message O texto do evento original do evento do Windows
  • A Chave da mensagem e o valor precisam ficar por último.

  • A ordem para os pares chave-valor não é importante.

Uma mensagem semelhante à seguinte é exibida:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

O QRadar permite a coleta de eventos por meio de um agente. Se os dados forem coletados usando um agente, o formato de hora será coletado sem dados de milissegundos.

Como o Defender para Identidade precisa de dados em milissegundos, você deve primeiro configurar o QRadar para usar a coleta de eventos do Windows sem agente. Para obter mais informações, consulte QRadar: coleta de eventos do Windows sem agente usando o protocolo MSRPC.

Use a seguinte sintaxe de mensagem para configurar o sensor autônomo para ouvir eventos do QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Nessa sintaxe, você deve incluir os seguintes campos:

  • O tipo de agente para a coleta
  • O nome do provedor do log de eventos do Windows
  • A origem do log de eventos do Windows
  • O nome de domínio totalmente qualificado do DC
  • O ID de evento do Windows
  • TimeGenerated, que é o carimbo de data/hora do evento. Certifique-se de que o valor não seja o carimbo de data/hora da chegada ao SIEM nem do envio ao Defender para Identidade. O formato do carimbo de data/hora deve ser The format should match yyyyMMddHHmmss.FFFFFF, e deve ter uma precisão de milissegundos.

Verifique se a mensagem inclui o texto do evento original do evento do Windows e se você está usando \t entre os pares chave-valor.

Observação

Não há suporte para o uso de WinCollect para a coleta de eventos do Windows.

Para saber mais, veja: