Sdílet prostřednictvím

Naslouchání událostem SIEM na samostatném senzoru Defender for Identity

  • Článek

Tento článek popisuje požadovanou syntaxi zpráv při konfiguraci samostatného senzoru Defender for Identity tak, aby naslouchal podporovaným typům událostí SIEM. Naslouchání událostem SIEM je jednou z metod, jak vylepšit schopnosti detekce pomocí dalších událostí Windows, které nejsou dostupné ze sítě řadičů domény.

Další informace najdete v tématu Přehled shromažďování událostí Systému Windows.

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows, které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.

RSA Security Analytics

Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

V této syntaxi:

  • Hlavička syslogu je volitelná.

  • Oddělovač \n znaků je povinný mezi všemi poli.

  • Pole v pořadí jsou:

    1. (Povinné) Konstanta RsaSA
    2. Časové razítko skutečné události. Ujistěte se, že se nejedná o časové razítko příchodu do SIEM nebo odeslání do služby Defender for Identity. Důrazně doporučujeme použít přesnost milisekund.
    3. ID události systému Windows
    4. Název zprostředkovatele událostí Windows
    5. Název protokolu událostí Systému Windows
    6. Název počítače, který přijímá událost, například řadič domény
    7. Jméno ověřujícího uživatele
    8. Název zdrojového hostitele
    9. Kód výsledku NTLM

Důležité

Pořadí polí je důležité a zpráva by neměla obsahovat nic jiného.

MicroFocus ArcSight

Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

V této syntaxi:

  • Zpráva musí být v souladu s definicí protokolu.

  • Není zahrnuta žádná hlavička syslogu.

  • Část záhlaví oddělená kanálem (|) musí být zahrnuta, jak je uvedeno v protokolu.

  • V události musí být k dispozici následující klíče v části Rozšíření :

    Klíč Popis
    externalId ID události systému Windows
    Rt Časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem příchodu do SIEM nebo odeslání do Služby Defender for Identity. Nezapomeňte také použít přesnost milisekund.
    kočka Název protokolu událostí Systému Windows
    shost Název zdrojového hostitele
    dhost Počítač přijímající událost, například řadič domény
    duser Uživatel, který se ověřuje

    Pořadí není pro část Rozšíření důležité.

  • Pro následující pole musíte mít vlastní klíč a keyLable :

    • EventSource
    • Reason or Error Code = Kód výsledku NTLM

Splunk

Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem Splunku:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

V této syntaxi:

  • Hlavička syslogu je volitelná.

  • Mezi všemi povinnými \r\n poli je oddělovač znaků. Jedná se CRLF o řídicí znaky (0D0A v šestnáctkovém formátu), nikoli o literální znaky.

  • Pole jsou ve key=value formátu.

  • Následující klíče musí existovat a musí mít hodnotu:

    Name (Název) Popis
    Kód události ID události systému Windows
    Soubor protokolu Název protokolu událostí Systému Windows
    SourceName Název zprostředkovatele událostí Windows
    TimeGenerated Časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem příchodu do SIEM nebo odeslání do Služby Defender for Identity. Formát časového razítka musí být The format should match yyyyMMddHHmmss.FFFFFFa musíte použít přesnost milisekund.
    Název počítače Název zdrojového hostitele
    Zpráva Původní text události z události systému Windows

  • Klíč zprávy a hodnota musí být poslední.

  • Pořadí není důležité pro páry klíč=hodnota.

Zobrazí se zpráva podobná následující:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar umožňuje shromažďování událostí prostřednictvím agenta. Pokud se data shromáždí pomocí agenta, shromáždí se formát času bez dat v milisekundách.

Vzhledem k tomu, že Defender for Identity potřebuje data v milisekundách, musíte nejprve nakonfigurovat QRadar tak, aby používal shromažďování událostí Windows bez agentů. Další informace najdete v tématu QRadar: Shromažďování událostí Windows bez agentů pomocí protokolu MSRPC.

Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem QRadaru:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

V této syntaxi je nutné zahrnout následující pole:

  • Typ agenta pro kolekci
  • Název zprostředkovatele protokolu událostí Systému Windows
  • Zdroj protokolu událostí systému Windows
  • Plně kvalifikovaný název domény řadiče domény
  • ID události systému Windows
  • TimeGenerated, což je časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem příchodu do SIEM nebo odeslání do Služby Defender for Identity. Formát časového razítka musí být The format should match yyyyMMddHHmmss.FFFFFFa musí mít přesnost milisekund.

Ujistěte se, že zpráva obsahuje původní text události z události systému Windows a že je mezi \t páry klíč=hodnota.

Poznámka

Použití WinCollect pro shromažďování událostí Windows se nepodporuje.

Související obsah

Další informace najdete tady: