Escutar eventos SIEM no sensor autónomo do Defender para Identidade
Artigo
Este artigo descreve a sintaxe da mensagem necessária ao configurar um sensor autónomo do Defender para Identidade para escutar os tipos de eventos SIEM suportados. A escuta de eventos SIEM é um método para melhorar as suas capacidades de deteção com eventos adicionais do Windows que não estão disponíveis na rede do controlador de domínio.
Os sensores autónomos do Defender para Identidade não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implementação do sensor do Defender para Identidade.
Análise de Segurança RSA
Utilize a seguinte sintaxe de mensagens para configurar o sensor autónomo para escutar eventos da Análise de Segurança RSA:
O \n separador de carateres é necessário entre todos os campos.
Os campos, por ordem, são:
(Obrigatório) Constante RsaSA
O carimbo de data/hora do evento real. Certifique-se de que não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. Recomendamos vivamente que utilize uma precisão de milissegundos.
O ID do evento do Windows
O nome do fornecedor de eventos do Windows
O nome do registo de eventos do Windows
O nome do computador que recebe o evento, como o controlador de domínio
O nome do utilizador que está a autenticar
O nome do nome do anfitrião de origem
O código de resultado do NTLM
Importante
A ordem dos campos é importante e nada mais deve ser incluído na mensagem.
MicroFocus ArcSight
Utilize a seguinte sintaxe de mensagem para configurar o sensor autónomo para escutar eventos do MicroFocus ArcSight:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Nesta sintaxe:
A sua mensagem tem de estar em conformidade com a definição do protocolo.
Não está incluído nenhum cabeçalho syslog.
A parte do cabeçalho, separada por um pipe (|) tem de ser incluída, conforme indicado no protocolo
As seguintes chaves na peça Extensão têm de estar presentes no evento:
Chave
Descrição
externalId
O ID do evento do Windows
rt
O carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. Certifique-se também de que utiliza uma precisão de milissegundos.
gato
O nome do registo de eventos do Windows
shost
O nome do anfitrião de origem
dhost
O computador que recebe o evento, como o controlador de domínio
duser
O utilizador a autenticar
A encomenda não é importante para a parte da Extensão .
Tem de ter uma chave personalizada e keyLable para os seguintes campos:
EventSource
Reason or Error Code = O código de resultado do NTLM
Splunk
Utilize a seguinte sintaxe de mensagem para configurar o sensor autónomo para escutar eventos do Splunk:
Existe um \r\n separador de carateres entre todos os campos necessários. Estes são CRLF carateres de controlo(0D0A em hex) e não carateres literais.
Os campos estão em key=value formato.
As seguintes chaves têm de existir e ter um valor:
Name
Descrição
EventCode
O ID do evento do Windows
Logfile
O nome do registo de eventos do Windows
SourceName
O nome do fornecedor de eventos do Windows
TimeGenerated
O carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. O formato de carimbo de data/hora tem de ser The format should match yyyyMMddHHmmss.FFFFFFe tem de utilizar uma precisão de milissegundos.
ComputerName
O nome do anfitrião de origem
Mensagem
O texto original do evento do Windows
A Chave da Mensagem e o valor têm de ser os últimos.
A ordem não é importante para os pares key=value.
É apresentada uma mensagem semelhante à seguinte:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
O QRadar ativa a recolha de eventos através de um agente. Se os dados forem recolhidos com um agente, o formato de hora é recolhido sem dados milissegundos.
Utilize a seguinte sintaxe de mensagem para configurar o sensor autónomo para escutar eventos do QRadar:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
Nesta sintaxe, tem de incluir os seguintes campos:
O tipo de agente da coleção
O nome do fornecedor do registo de eventos do Windows
A origem do registo de eventos do Windows
O nome de domínio completamente qualificado do DC
O ID do evento do Windows
TimeGenerated, que é o carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. O formato de carimbo de data/hora tem de ser The format should match yyyyMMddHHmmss.FFFFFFe tem de ter uma precisão de milissegundos.
Certifique-se de que a mensagem inclui o texto original do evento do Windows e que tem \t entre os pares key=value.
Nota
A utilização do WinCollect para a coleção de eventos do Windows não é suportada.