Freigeben über

Lauschen auf SIEM-Ereignisse auf Ihrem eigenständigen Defender for Identity-Sensor

  • Artikel

In diesem Artikel wird die erforderliche Nachrichtensyntax beim Konfigurieren eines eigenständigen Defender for Identity-Sensors beschrieben, um auf unterstützte SIEM-Ereignistypen zu lauschen. Das Lauschen auf SIEM-Ereignisse ist eine Methode, um Ihre Erkennungsfunktionen mit zusätzlichen Windows-Ereignissen zu verbessern, die im Domänencontrollernetzwerk nicht verfügbar sind.

Weitere Informationen finden Sie unter Übersicht über die Windows-Ereignissammlung.

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Sammlung von ETW-Protokolleinträgen (Event Tracing for Windows), die die Daten für mehrere Erkennungen bereitstellen. Für eine vollständige Abdeckung Ihrer Umgebung empfehlen wir die Bereitstellung des Defender for Identity-Sensors.

RSA-Sicherheitsanalyse

Verwenden Sie die folgende Meldungssyntax, um Ihren eigenständigen Sensor für das Lauschen auf RSA Security Analytics-Ereignisse zu konfigurieren:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

In dieser Syntax:

  • Der Syslog-Header ist optional.

  • Das \n Zeichentrennzeichen ist zwischen allen Feldern erforderlich.

  • Die Felder in der Reihenfolge sind:

    1. (Erforderlich) RsaSA-Konstante
    2. Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich nicht um den Zeitstempel der Ankunft beim SIEM handelt oder wenn es an Defender for Identity gesendet wird. Es wird dringend empfohlen, eine Genauigkeit von Millisekunden zu verwenden.
    3. Die Windows-Ereignis-ID
    4. Der Name des Windows-Ereignisanbieters
    5. Der Name des Windows-Ereignisprotokolls
    6. Der Name des Computers, der das Ereignis empfängt, z. B. der Domänencontroller
    7. Der Name des Benutzers, der sich authentifiziert
    8. Der Name des Quellhostnamens
    9. Der Ergebniscode des NTLM

Wichtig

Die Reihenfolge der Felder ist wichtig, und die Nachricht sollte nichts anderes enthalten.

MicroFocus ArcSight

Verwenden Sie die folgende Meldungssyntax, um Ihren eigenständigen Sensor für das Lauschen auf MicroFocus ArcSight-Ereignisse zu konfigurieren:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

In dieser Syntax:

  • Ihre Nachricht muss der Protokolldefinition entsprechen.

  • Es ist kein Syslog-Header enthalten.

  • Der durch eine Pipe (|) getrennte Headerteil muss enthalten sein, wie im Protokoll angegeben.

  • Die folgenden Schlüssel im Erweiterungsteil müssen im Ereignis vorhanden sein:

    Key Beschreibung
    externalId Die Windows-Ereignis-ID
    Rt Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass der Wert nicht der Zeitstempel der Ankunft beim SIEM ist oder wenn er an Defender for Identity gesendet wird. Achten Sie außerdem darauf, eine Genauigkeit von Millisekunden zu verwenden.
    Katze Der Name des Windows-Ereignisprotokolls
    shost Der Name des Quellhosts
    dhost Der Computer, der das Ereignis empfängt, z. B. der Domänencontroller
    duser Der Benutzer, der sich authentifiziert

    Die Reihenfolge ist für den Erweiterungsteil nicht wichtig.

  • Sie benötigen einen benutzerdefinierten Schlüssel und keyLable für die folgenden Felder:

    • EventSource
    • Reason or Error Code = Der Ergebniscode des NTLM

Splunk

Verwenden Sie die folgende Meldungssyntax, um Ihren eigenständigen Sensor so zu konfigurieren, dass er auf Splunk-Ereignisse lauscht:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

In dieser Syntax:

  • Der Syslog-Header ist optional.

  • Zwischen allen erforderlichen Feldern gibt es ein \r\n Zeichentrennzeichen. Hierbei handelt CRLF es sich um Steuerzeichen (0D0A in hexady) und nicht um Literalzeichen.

  • Die Felder haben ein key=value Format.

  • Die folgenden Schlüssel müssen vorhanden sein und einen Wert aufweisen:

    Name Beschreibung
    EventCode Die Windows-Ereignis-ID
    Protokolldatei Der Name des Windows-Ereignisprotokolls
    SourceName Der Name des Windows-Ereignisanbieters
    TimeGenerated Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass der Wert nicht der Zeitstempel der Ankunft beim SIEM ist oder wenn er an Defender for Identity gesendet wird. Das Zeitstempelformat muss sein The format should match yyyyMMddHHmmss.FFFFFF, und Sie müssen eine Genauigkeit von Millisekunden verwenden.
    ComputerName Der Name des Quellhosts
    Meldung Der ursprüngliche Ereignistext aus dem Windows-Ereignis

  • Nachrichtenschlüssel und -wert müssen zuletzt sein.

  • Die Reihenfolge ist für die Schlüssel-Wert-Paare nicht wichtig.

Eine Meldung ähnlich der folgenden wird angezeigt:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar ermöglicht die Ereignissammlung über einen Agent. Wenn die Daten mit einem Agent gesammelt werden, wird das Zeitformat ohne Millisekundendaten gesammelt.

Da Defender for Identity Millisekundendaten benötigt, müssen Sie QRadar zunächst für die Verwendung der Windows-Ereignissammlung ohne Agent konfigurieren. Weitere Informationen finden Sie unter QRadar: Windows-Ereignissammlung ohne Agent mithilfe des MSRPC-Protokolls.

Verwenden Sie die folgende Meldungssyntax, um Ihren eigenständigen Sensor so zu konfigurieren, dass er auf QRadar-Ereignisse lauscht:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

In dieser Syntax müssen Sie die folgenden Felder einschließen:

  • Der Agenttyp für die Sammlung
  • Der Name des Windows-Ereignisprotokollanbieters
  • Die Quelle des Windows-Ereignisprotokolls
  • Vollqualifizierter Domänenname des DC
  • Die Windows-Ereignis-ID
  • TimeGenerated, der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass der Wert nicht der Zeitstempel der Ankunft beim SIEM ist oder wenn er an Defender for Identity gesendet wird. Das Zeitstempelformat muss sein The format should match yyyyMMddHHmmss.FFFFFFund eine Genauigkeit von Millisekunden aufweisen.

Stellen Sie sicher, dass die Nachricht den ursprünglichen Ereignistext aus dem Windows-Ereignis enthält und zwischen \t den Schlüssel-Wert-Paaren vorhanden ist.

Hinweis

Die Verwendung von WinCollect für die Windows-Ereignissammlung wird nicht unterstützt.

Verwandte Inhalte

Weitere Informationen finden Sie unter: