Del via

Lyt efter SIEM-hændelser på din separate Defender for Identity-sensor

  • Artikel

I denne artikel beskrives den påkrævede meddelelsessyntaks, når du konfigurerer en separat Defender for Identity-sensor til at lytte efter understøttede SIEM-hændelsestyper. Lytte til SIEM-hændelser er én metode til at forbedre dine registreringsevner med ekstra Windows-hændelser, der ikke er tilgængelige fra domænecontrollernetværket.

Du kan få flere oplysninger under Oversigt over Windows-hændelsessamling.

Vigtigt!

Separate Defender for Identity-sensorer understøtter ikke indsamling af logposter for Hændelsessporing til Windows (ETW), der leverer dataene til flere registreringer. Hvis du vil have fuld dækning af dit miljø, anbefaler vi, at du installerer Defender for Identity-sensoren.

RSA Security Analytics

Brug følgende meddelelsessyntaks til at konfigurere din separate sensor til at lytte efter RSA Security Analytics-hændelser:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

I denne syntaks:

  • Syslog-headeren er valgfri.

  • Tegnseparatoren \n er påkrævet mellem alle felter.

  • Felterne i rækkefølge er:

    1. (Påkrævet) RsaSA-konstant
    2. Tidsstemplet for den faktiske hændelse. Sørg for, at det ikke er tidsstemplet for ankomsten til SIEM, eller når det sendes til Defender for Identity. Vi anbefaler på det kraftigste, at du bruger en nøjagtighed på millisekunder.
    3. Windows-hændelses-id'et
    4. Navnet på Windows-hændelsesprovideren
    5. Windows-hændelsesloggens navn
    6. Navnet på den computer, der modtager hændelsen, f.eks. domænecontrolleren
    7. Navnet på den bruger, der godkender
    8. Navnet på kildeværtsnavnet
    9. NTLM-resultatkoden

Vigtigt!

Felternes rækkefølge er vigtig, og der skal ikke medtages andet i meddelelsen.

MicroFocus ArcSight

Brug følgende meddelelsessyntaks til at konfigurere din separate sensor til at lytte efter MicroFocus ArcSight-hændelser:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

I denne syntaks:

  • Meddelelsen skal overholde protokoldefinitionen.

  • Der er ikke inkluderet en syslog-header.

  • Overskriftsdelen, adskilt af en pipe (|), skal medtages, som angivet i protokollen

  • Følgende nøgler i udvidelsesdelen skal være til stede i hændelsen:

    Nøgle Beskrivelse
    externalId Windows-hændelses-id'et
    Rt Tidsstemplet for den faktiske hændelse. Sørg for, at værdien ikke er tidsstemplet for ankomsten til SIEM, eller når den sendes til Defender for Identity. Sørg også for at bruge en nøjagtighed på millisekunder.
    kat Windows-hændelsesloggens navn
    shost Kildeværtsnavnet
    dhost Den computer, der modtager hændelsen, f.eks. domænecontrolleren
    duser Den bruger, der godkender

    Rækkefølgen er ikke vigtig for udvidelsesdelen .

  • Du skal have en brugerdefineret nøgle og keyLable for følgende felter:

    • EventSource
    • Reason or Error Code = NTLM-resultatkoden

Splunk

Brug følgende meddelelsessyntaks til at konfigurere din separate sensor til at lytte efter Splunk-hændelser:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

I denne syntaks:

  • Syslog-headeren er valgfri.

  • Der er en \r\n tegnseparator mellem alle obligatoriske felter. Dette er CRLF kontroltegn, (0D0A i hex) og ikke konstanttegn.

  • Felterne er i key=value format.

  • Følgende nøgler skal findes og have en værdi:

    Navn Beskrivelse
    EventCode Windows-hændelses-id'et
    Logfil Windows-hændelsesloggens navn
    Kildenavn Navnet på Windows-hændelsesprovideren
    Tid genereret Tidsstemplet for den faktiske hændelse. Sørg for, at værdien ikke er tidsstemplet for ankomsten til SIEM, eller når den sendes til Defender for Identity. Tidsstempelformatet skal være The format should match yyyyMMddHHmmss.FFFFFF, og du skal bruge en nøjagtighed på millisekunder.
    Computernavn Kildeværtsnavnet
    Meddelelse Den oprindelige hændelsestekst fra Windows-hændelsen

  • Meddelelsesnøglen og -værdien skal være den sidste.

  • Rækkefølgen er ikke vigtig for nøgle=værdipar.

Der vises en meddelelse i stil med følgende:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar aktiverer hændelsessamling via en agent. Hvis dataene indsamles ved hjælp af en agent, indsamles tidsformatet uden millisekundersdata.

Da Defender for Identity skal bruge millisekundersdata, skal du først konfigurere QRadar til at bruge agentløs Windows-hændelsessamling. Du kan få flere oplysninger under QRadar: Agentløs Windows-hændelsessamling ved hjælp af MSRPC-protokollen.

Brug følgende meddelelsessyntaks til at konfigurere din separate sensor til at lytte efter QRadar-hændelser:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

I denne syntaks skal du medtage følgende felter:

  • Agenttypen for samlingen
  • Navnet på udbyderen af Windows-hændelsesloggen
  • Windows-hændelseslogkilden
  • Det fulde domænenavn for domænecontrolleren
  • Windows-hændelses-id'et
  • TimeGenerated, som er tidsstemplet for den faktiske hændelse. Sørg for, at værdien ikke er tidsstemplet for ankomsten til SIEM, eller når den sendes til Defender for Identity. Tidsstempelformatet skal være The format should match yyyyMMddHHmmss.FFFFFF, og det skal have en nøjagtighed på millisekunder.

Sørg for, at meddelelsen indeholder den oprindelige hændelsestekst fra Windows-hændelsen, og at du har \t mellem nøgle=værdipar.

Bemærk!

Brug af WinCollect til Windows-hændelsessamling understøttes ikke.

Relateret indhold

Du kan finde flere oplysninger under: