Tek başına Kimlik için Defender algılayıcınızda SIEM olaylarını dinleme

  • Makale

Bu makalede, kimlik için Defender tek başına algılayıcısını desteklenen SIEM olay türlerini dinleyecek şekilde yapılandırırken gerekli ileti söz dizimi açıklanmaktadır. SIEM olaylarını dinlemek, etki alanı denetleyicisi ağında bulunmayan ek Windows olaylarıyla algılama becerilerinizi geliştirmeye yönelik yöntemlerden biridir.

Daha fazla bilgi için bkz . Windows olay koleksiyonuna genel bakış.

Önemli

Tek başına Kimlik için Defender algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.

RSA Güvenlik Analizi

Tek başına algılayıcınızı RSA Güvenlik Analizi olaylarını dinleyecek şekilde yapılandırmak için aşağıdaki ileti söz dizimini kullanın:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Bu sözdiziminde:

  • Syslog üst bilgisi isteğe bağlıdır.

  • Karakter \n ayırıcı tüm alanlar arasında gereklidir.

  • Sırasıyla alanlar şunlardır:

    1. (Gerekli) RsaSA sabiti
    2. Gerçek olayın zaman damgası. Bunun SIEM'e varışın zaman damgası olmadığından veya Kimlik için Defender'a gönderildiğinden emin olun. Milisaniyelik doğruluk kullanmanızı kesinlikle öneririz.
    3. Windows olay kimliği
    4. Windows olay sağlayıcısı adı
    5. Windows olay günlüğü adı
    6. Etki alanı denetleyicisi gibi olayı alan bilgisayarın adı
    7. Kimlik doğrulaması yapılan kullanıcının adı
    8. Kaynak ana bilgisayar adının adı
    9. NTLM'nin sonuç kodu

Önemli

Alanların sırası önemlidir ve iletiye başka hiçbir şey eklenmemelidir.

MicroFocus ArcSight

Tek başına algılayıcınızı MicroFocus ArcSight olaylarını dinleyecek şekilde yapılandırmak için aşağıdaki ileti söz dizimini kullanın:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Bu sözdiziminde:

  • İletiniz protokol tanımına uygun olmalıdır.

  • Syslog üst bilgisi eklenmez.

  • Protokolde belirtildiği gibi, bir kanalla (|) ayrılmış üst bilgi bölümü eklenmelidir

  • Uzantı bölümündeki aşağıdaki anahtarların olayda mevcut olması gerekir:

    Tuş Açıklama
    externalId Windows olay kimliği
    Rt Gerçek olayın zaman damgası. Değerin SIEM'e varışın zaman damgası olmadığından veya Kimlik için Defender'a gönderildiğinden emin olun. Ayrıca milisaniyelik bir doğruluk değeri kullandığınızdan emin olun.
    Kedi Windows olay günlüğü adı
    shost Kaynak ana bilgisayar adı
    dhost Etki alanı denetleyicisi gibi olayı alan bilgisayar
    duser Kimlik doğrulaması yapılan kullanıcı

    Sipariş, Uzantı bölümü için önemli değildir.

  • Aşağıdaki alanlar için özel bir anahtarınız ve keyLable'nız olmalıdır:

    • EventSource
    • Reason or Error Code = NTLM'nin sonuç kodu

Splunk

Tek başına algılayıcınızı Splunk olaylarını dinleyecek şekilde yapılandırmak için aşağıdaki ileti söz dizimini kullanın:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Bu sözdiziminde:

  • Syslog üst bilgisi isteğe bağlıdır.

  • Tüm gerekli alanlar arasında bir \r\n karakter ayırıcısı vardır. Bunlar denetim karakterleridir CRLF (0D0A onaltılık) ve değişmez karakterler değildir.

  • Alanlar biçimindedir key=value .

  • Aşağıdaki anahtarların mevcut olması ve bir değere sahip olması gerekir:

    Adı Açıklama
    EventCode Windows olay kimliği
    Logfile Windows olay günlüğü adı
    SourceName Windows olay sağlayıcısı adı
    TimeGenerated Gerçek olayın zaman damgası. Değerin SIEM'e varışın zaman damgası olmadığından veya Kimlik için Defender'a gönderildiğinden emin olun. Zaman damgası biçimi olmalıdır The format should match yyyyMMddHHmmss.FFFFFFve milisaniyelik bir doğruluk kullanmanız gerekir.
    ComputerName Kaynak ana bilgisayar adı
    İleti Windows olayından özgün olay metni

  • İleti Anahtarı ve değeri son olmalıdır.

  • Anahtar=değer çiftleri için sıra önemli değildir.

Aşağıdakine benzer bir ileti görüntülenir:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar bir aracı aracılığıyla olay toplamayı etkinleştirir. Veriler bir aracı kullanılarak toplanıyorsa, zaman biçimi milisaniyelik veriler olmadan toplanır.

Kimlik için Defender'ın milisaniyelik verilere ihtiyacı olduğundan, önce QRadar'ı aracısız Windows olay koleksiyonunu kullanacak şekilde yapılandırmanız gerekir. Daha fazla bilgi için bkz . QRadar: MSRPC Protokolü kullanılarak Aracısız Windows Olay Koleksiyonu.

Tek başına algılayıcınızı QRadar olaylarını dinleyecek şekilde yapılandırmak için aşağıdaki ileti söz dizimini kullanın:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Bu söz diziminde aşağıdaki alanları eklemeniz gerekir:

  • Koleksiyon için aracı türü
  • Windows olay günlüğü sağlayıcısı adı
  • Windows olay günlüğü kaynağı
  • DC tam etki alanı adı
  • Windows olay kimliği
  • TimeGenerated, gerçek olayın zaman damgasıdır. Değerin SIEM'e varışın zaman damgası olmadığından veya Kimlik için Defender'a gönderildiğinden emin olun. Zaman damgası biçimi olmalıdır The format should match yyyyMMddHHmmss.FFFFFFve milisaniyelik bir doğruluğu olmalıdır.

İletinin Windows olayından özgün olay metnini içerdiğinden ve key=value çiftleri arasında olduğundan \t emin olun.

Dekont

Windows için WinCollect olay koleksiyonunun kullanılması desteklenmez.

İlgili içerik

Daha fazla bilgi için bkz.