Jaa

Kuuntele SIEM-tapahtumia defender for Identityn erillisessä tunnistimella

  • Artikkeli

Tässä artikkelissa kuvataan pakollinen sanomasyntaksi määritettäessä Defender for Identityn erillistunnistinta tuettujen SIEM-tapahtumatyyppien kuuntelemiseksi. SIEM-tapahtumien kuuntelu on yksi tapa parantaa tunnistuskykyä ylimääräisillä Windows-tapahtumilla, jotka eivät ole käytettävissä toimialueen ohjauskoneverkossa.

Lisätietoja on ohjeaiheessa Windowsin tapahtumakokoelman yleiskatsaus.

Tärkeää

Defender for Identityn erilliset tunnistimet eivät tue Windowsin tapahtumien seurannan (ETW) lokimerkintöjen keräämistä, jotka antavat tiedot useita tunnistuksia varten. Suosittelemme, että otat Defender for Identity -tunnistimen käyttöön, jotta saat täyden kattavuuden ympäristöstäsi.

RSA-suojausanalytiikka

Seuraavan viestisyntaksin avulla voit määrittää erillisen tunnistimen kuuntelemaan RSA Security Analytics -tapahtumia:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Tässä syntaksissa:

  • Syslog-otsikko on valinnainen.

  • Merkkierotin \n vaaditaan kaikkien kenttien välillä.

  • Kentät ovat järjestyksessä:

    1. (Pakollinen) RsaSA-vakio
    2. Todellisen tapahtuman aikaleima. Varmista, että se ei ole SIEM:hen saapumisen aikaleima tai aikaleima, kun se lähetetään Defender for Identitylle. Suosittelemme käyttämään millisekunnin tarkkuutta.
    3. Windows-tapahtumatunnus
    4. Windows-tapahtumapalvelun nimi
    5. Windowsin tapahtumalokin nimi
    6. Tapahtuman vastaanottavan tietokoneen nimi, kuten toimialueen ohjauskone
    7. Todennevan käyttäjän nimi
    8. Lähdeisännän nimen nimi
    9. NTLM:n tuloskoodi

Tärkeää

Kenttien järjestys on tärkeä, eikä mitään muuta tule sisällyttää viestiin.

MicroFocus ArcSight

Seuraavan viestisyntaksin avulla voit määrittää erillisen tunnistimen kuuntelemaan MicroFocus ArcSight -tapahtumia:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Tässä syntaksissa:

  • Viestisi on oltava protokollamäärityksen mukainen.

  • Syslog-otsikkoa ei sisällytetä.

  • Otsikko-osa, joka on erotettu putkella (|), on sisällytettävä, kuten protokollassa on mainittu.

  • Laajennukset-osan seuraavien avainten on oltava mukana tapahtumassa:

    Avain Kuvaus
    externalId Windows-tapahtumatunnus
    Rt Todellisen tapahtuman aikaleima. Varmista, että arvo ei ole SIEM:lle saapumisen aikaleima tai kun se lähetetään Defender for Identitylle. Varmista myös, että käytät millisekunnin tarkkuutta.
    kissa Windowsin tapahtumalokin nimi
    shost Lähteen isäntänimi
    dhost Tapahtumaa vastaanottava tietokone, kuten toimialueen ohjauskone
    duser Käyttäjä, joka todentaa

    Järjestys ei ole tärkeä Laajennus-osalle.

  • Sinulla on oltava mukautettu avain ja keyLable seuraavissa kentissä:

    • EventSource
    • Reason or Error Code = NTLM:n tuloskoodi

Splunk

Seuraavan viestisyntaksin avulla voit määrittää erillisen tunnistimen kuuntelemaan Splunk-tapahtumia:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Tässä syntaksissa:

  • Syslog-otsikko on valinnainen.

  • Kaikkien tarvittavien \r\n kenttien välissä on merkkierotin. Nämä ovat CRLF ohjausmerkkejä (0D0A heksamerkkinä) eivätkä literaalimerkkejä.

  • Kentät ovat key=value muotoa.

  • Seuraavien avainten on oltava olemassa, ja niillä on oltava arvo:

    Nimi Kuvaus
    Tapahtumakoodi Windows-tapahtumatunnus
    Lokitiedosto Windowsin tapahtumalokin nimi
    Lähdenimi Windows-tapahtumapalvelun nimi
    TimeGenerated Todellisen tapahtuman aikaleima. Varmista, että arvo ei ole SIEM:lle saapumisen aikaleima tai kun se lähetetään Defender for Identitylle. Aikaleimamuodon on oltava The format should match yyyyMMddHHmmss.FFFFFF, ja sinun on käytettävä millisekunnin tarkkuutta.
    Tietokoneen nimi Lähteen isäntänimi
    Viesti Windows-tapahtuman alkuperäinen tapahtumateksti

  • Viestin avaimen ja arvon on oltava viimeinen.

  • Järjestys ei ole tärkeä avain=arvo-pareille.

Näyttöön tulee seuraavanlainen sanoma:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar mahdollistaa tapahtuman keräämisen agentin kautta. Jos tiedot kerätään agentin avulla, aikamuoto kerätään ilman millisekunnin tietoja.

Koska Defender for Identity tarvitsee millisekunteina tietoja, sinun on ensin määritettävä QRadar käyttämään agenttitonta Windows-tapahtumakokoelmaa. Lisätietoja on artikkelissa QRadar: Agentless Windows Events Collection käyttämällä MSRPC-protokollaa.

Määritä erillinen tunnistin kuuntelemaan QRadar-tapahtumia seuraavan viestisyntaksin avulla:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Tässä syntaksissa on oltava seuraavat kentät:

  • Kokoelman agenttityyppi
  • Windowsin tapahtumalokipalvelun nimi
  • Windowsin tapahtumalokin lähde
  • Toimialueen täydellinen toimialuenimi
  • Windows-tapahtumatunnus
  • TimeGenerated, joka on todellisen tapahtuman aikaleima. Varmista, että arvo ei ole SIEM:lle saapumisen aikaleima tai kun se lähetetään Defender for Identitylle. Aikaleiman muodon on oltava The format should match yyyyMMddHHmmss.FFFFFF, ja sen tarkkuuden on oltava millisekuntia.

Varmista, että viesti sisältää Windows-tapahtuman alkuperäisen tapahtumatekstin ja että sinulla on \t key=value-parien välillä.

Huomautus

WinCollect for Windows -tapahtumakokoelman käyttämistä ei tueta.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa: