Jaa

Asenna ATA - Vaihe 6

  • Artikkeli

Koskee: Advanced Threat Analytics -versio 1.9

« Vaihe 5Vaihe 7 »

Vaihe 6: Tapahtumakokoelman määrittäminen

Määritä tapahtumakokoelma

Tunnistusominaisuuksien parantamiseksi ATA tarvitsee seuraavat Windows-tapahtumat: 4776, 4732, 4733, 4728, 4729, 4756, 4757 ja 7045. ATA-kevyt yhdyskäytävä lukee nämä Windows-tapahtumat automaattisesti tai jos ATA-kevyttä yhdyskäytävää ei ole otettu käyttöön, ne voidaan lähettää ATA-yhdyskäytävään kahdella tavalla joko määrittämällä ATA-yhdyskäytävä kuuntelemaan SIEM-tapahtumia tai määrittämällä Windowsin tapahtumien edelleenlähetys.

Huomautus

ATA-versioissa 1.8 tai uudemmissa versioissa Windowsin tapahtumakokoelman määritystä ei enää tarvita ATA Lightweight Gateway -yhdyskäytäville. ATA Lightweight Gateway lukee nyt tapahtumia paikallisesti ilman, että tapahtumien edelleenlähetystä tarvitsee määrittää.

Sen lisäksi, että ATA kerää ja analysoi verkkoliikennettä toimialueen ohjauskoneisiin ja toimialueen ohjauskoneista, se voi myös parantaa tunnistuksia Windows-tapahtumien avulla. Se käyttää NTLM:n tapahtumaa 4776, joka parantaa erilaisia tunnistuksia ja tapahtumia 4732, 4733, 4728, 4729, 4756 ja 4757 luottamuksellisten ryhmämuutosten havaitsemisen parantamiseksi. Tämä voidaan vastaanottaa SIEM:stä tai määrittämällä Windowsin tapahtumien edelleenlähetys toimialueen ohjauskoneesta. Kerätyt tapahtumat antavat ATA:lle lisätietoja, jotka eivät ole käytettävissä toimialueen ohjauskoneen verkkoliikenteen kautta.

SIEM/Syslog

Jotta ATA voi käyttää tietoja Syslog-palvelimesta, sinun on suoritettava seuraavat vaiheet:

  • Määritä ATA-yhdyskäytäväpalvelimet kuuntelemaan ja hyväksymään SIEM-/Syslog-palvelimesta välitetyt tapahtumat.

Huomautus

ATA kuuntelee vain IPv4:tä, ei IPv6:ta.

  • Määritä SIEM/Syslog-palvelin välitämään tietyt tapahtumat ATA-yhdyskäytävään.

Tärkeää

  • Älä välitä kaikkia Syslog-tietoja ATA-yhdyskäytävään.
  • ATA tukee UDP-liikennettä SIEM/Syslog-palvelimesta.

Katso SIEM-/Syslog-palvelimen tuotedokumentaatiosta lisätietoja tiettyjen tapahtumien edelleenlähetysten määrittämisestä toiselle palvelimelle.

Huomautus

Jos et käytä SIEM/Syslog-palvelinta, voit määrittää Windows-toimialueen ohjauskoneesi välittää Windowsin tapahtumatunnuksen 4776 ATA:n kerättäväksi ja analysoitavaksi. Windowsin tapahtumatunnus 4776 sisältää NTLM-todennukseen liittyviä tietoja.

ATA-yhdyskäytävän määrittäminen kuuntelemaan SIEM-tapahtumia

  1. Valitse ATA-määrityksen kohdassa Tietolähteet-kohdastaSIEM , ota Syslog käyttöön ja valitse Tallenna.

    Ota käyttöön syslog-kuuntelutoiminnon UDP-kuva.

  2. Määritä SIEM- tai Syslog-palvelin välittääksesi Windowsin tapahtumatunnuksen 4776 jonkin ATA-yhdyskäytävän IP-osoitteeseen. Lisätietoja SIEM:n määrittämisestä on SIEM-verkko-ohjeiden tai teknisen tuen asetuksissa, jotka koskevat kunkin SIEM-palvelimen tiettyjä muotoiluvaatimuksia.

ATA tukee SIEM-tapahtumia seuraavissa muodoissa:

RSA-suojausanalytiikka

<Syslog Header>RsaSA\n2015-may-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • Syslog-otsikko on valinnainen.

  • Kaikkien kenttien välillä tarvitaan merkkierotin \n.

  • Kentät ovat järjestyksessä:

    1. RsaSA-vakio (sen on oltava näkyvissä).
    2. Todellisen tapahtuman aikaleima (varmista, että se ei ole EM:hen saapumisen aikaleima tai milloin se lähetetään ATA:hen). Mieluiten millisekunteina tarkkuus, tämä on tärkeää.
    3. Windows-tapahtumatunnus
    4. Windows-tapahtumapalvelun nimi
    5. Windowsin tapahtumalokin nimi
    6. Tapahtuman vastaanottavan tietokoneen nimi (tässä tapauksessa dc)
    7. Todennevan käyttäjän nimi
    8. Lähdeisännän nimen nimi
    9. NTLM:n tuloskoodi

  • Järjestys on tärkeä, eikä mitään muuta tule sisällyttää viestiin.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Toimialueen ohjauskone yritti vahvistaa tilin tunnistetiedot.|Pieni| externalId=4776 cat=Security rt=1426218619000 shost=KKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Syy tai virhekoodi

  • On noudatettava protokollan määritystä.

  • Ei syslog-otsikkoa.

  • Ylätunnisteosan (putken erottaman osan) on oltava olemassa (kuten protokollassa on mainittu).

  • Laajennukset-osan seuraavien avainten on oltava mukana tapahtumassa:

    • externalId = Windowsin tapahtumatunnus
    • rt = todellisen tapahtuman aikaleima (varmista, että se ei ole aikaleima saapumiselle SIEM:lle tai kun se lähetetään ATA:lle). Mieluiten millisekunteina tarkkuus, tämä on tärkeää.
    • cat = Windowsin tapahtumalokin nimi
    • shost = lähteen isäntänimi
    • dhost = tapahtumaa vastaanottava tietokone (tässä tapauksessa dc)
    • duser = käyttäjä, joka todentaa

  • Järjestys ei ole tärkeä Laajennus-osalle

  • Näissä kahdessa kentässä on oltava mukautettu avain ja keyLable:

    • "Tapahtumalähde"
    • "Syy tai virhekoodi" = NTLM:n tuloskoodi

Splunk

<Syslog-otsikko>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Tietokone yritti vahvistaa tilin tunnistetiedot.

Todennuspaketti: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Kirjautumistili: järjestelmänvalvoja

Lähdetyöasema: SIEM

Virhekoodi: 0x0

  • Syslog-otsikko on valinnainen.

  • Kaikkien tarvittavien kenttien välissä on "\r\n"-merkkierotin. Huomaa, että nämä ovat ohjausmerkkejä CRLF (0D0A heksassa) eivätkä literaalimerkkejä.

  • Kentät ovat key=value-muodossa.

  • Seuraavien avainten on oltava olemassa, ja niillä on oltava arvo:

    • EventCode = Windowsin tapahtumatunnus
    • Logfile = Windowsin tapahtumalokin nimi
    • SourceName = Windows-tapahtumapalvelun nimi
    • TimeGenerated = todellisen tapahtuman aikaleima (varmista, että se ei ole aikaleima saapumisesta SIEM:hen tai kun se lähetetään ATA:hen). Muodon tulee vastata yyyyMMddHHmmss.FFFFFF-tiedostoa, mieluiten millisekunteina, mutta tämä on tärkeää.
    • ComputerName = lähteen isäntänimi
    • Viesti = Windows-tapahtuman alkuperäinen tapahtumateksti

  • Viestin avaimen ja arvon ON oltava viimeinen.

  • Järjestys ei ole tärkeä avain=arvo-pareille.

QRadar

QRadar mahdollistaa tapahtuman keräämisen agentin kautta. Jos tiedot kerätään agentin avulla, aikamuoto kerätään ilman millisekunnin tietoja. Koska ATA vaatii millisekuntia tietoa, QRadar on määritettävä käyttämään agenttitonta Windows-tapahtumakokoelmaa. Lisätietoja on artikkelissa QRadar: Agentless Windows Events Collection käyttämällä MSRPC-protokollaa.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Tarvittavat kentät ovat:

  • Kokoelman agenttityyppi

  • Windowsin tapahtumalokipalvelun nimi

  • Windowsin tapahtumalokin lähde

  • Toimialueen täydellinen toimialuenimi

  • Windows-tapahtumatunnus

TimeGenerated on todellisen tapahtuman aikaleima (varmista, että se ei ole aikaleima saapumisesta SIEM:hen tai kun se lähetetään ATA:hen). Muodon tulee vastata yyyyMMddHHmmss.FFFFFF-tiedostoa, mieluiten millisekunteina, mutta tämä on tärkeää.

Viesti on Windows-tapahtuman alkuperäinen tapahtumateksti

Varmista, että \t on key=value-parien välissä.

Huomautus

WinCollect for Windows -tapahtumakokoelman käyttämistä ei tueta.

« Vaihe 5Vaihe 7 »

Tutustu myös seuraaviin ohjeartikkeleihin: