Partager via

Écouter les événements SIEM sur votre capteur autonome Defender pour Identity

  • Article

Cet article décrit la syntaxe de message requise lors de la configuration d’un capteur autonome Defender pour Identity pour écouter les types d’événements SIEM pris en charge. L’écoute des événements SIEM est une méthode permettant d’améliorer vos capacités de détection avec des événements Windows supplémentaires qui ne sont pas disponibles à partir du réseau de contrôleur de domaine.

Pour plus d’informations, consultez Vue d’ensemble de la collecte d’événements Windows.

Importante

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal de suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

RSA Security Analytics

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome afin qu’il écoute les événements RSA Security Analytics :

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Dans cette syntaxe :

  • L’en-tête syslog est facultatif.

  • Le \n séparateur de caractères est requis entre tous les champs.

  • Les champs, dans l’ordre, sont les suivants :

    1. (Obligatoire) Constante RsaSA
    2. Horodatage de l’événement réel. Assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou du moment où il est envoyé à Defender pour Identity. Nous vous recommandons vivement d’utiliser une précision de quelques millisecondes.
    3. ID d’événement Windows
    4. Nom du fournisseur d’événements Windows
    5. Nom du journal des événements Windows
    6. Nom de l’ordinateur recevant l’événement, tel que le contrôleur de domaine
    7. Nom de l’utilisateur qui s’authentifie
    8. Nom du nom d’hôte source
    9. Code de résultat du NTLM

Importante

L’ordre des champs est important et rien d’autre ne doit être inclus dans le message.

MicroFocus ArcSight

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome afin d’écouter les événements MicroFocus ArcSight :

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Dans cette syntaxe :

  • Votre message doit respecter la définition du protocole.

  • Aucun en-tête syslog n’est inclus.

  • La partie d’en-tête, séparée par un canal (|) doit être incluse, comme indiqué dans le protocole

  • Les clés suivantes dans la partie Extension doivent être présentes dans l’événement :

    Clé Description
    externalId ID d’événement Windows
    Rt Horodatage de l’événement réel. Assurez-vous que la valeur n’est pas l’horodatage de l’arrivée au SIEM, ou quand elle est envoyée à Defender pour Identity. Veillez également à utiliser une précision de millisecondes.
    chat Nom du journal des événements Windows
    shost Nom d’hôte source
    dhost L’ordinateur qui reçoit l’événement, tel que le contrôleur de domaine
    duser L’utilisateur s’authentifie

    L’ordre n’est pas important pour la partie Extension .

  • Vous devez avoir une clé personnalisée et keyLable pour les champs suivants :

    • EventSource
    • Reason or Error Code = Code de résultat du NTLM

Splunk

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome afin qu’il écoute les événements Splunk :

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Dans cette syntaxe :

  • L’en-tête syslog est facultatif.

  • Il existe un \r\n séparateur de caractères entre tous les champs obligatoires. CRLF Il s’agit de caractères de contrôle (0D0A en hexadécimaux) et non de caractères littéraux.

  • Les champs sont au key=value format.

  • Les clés suivantes doivent exister et avoir une valeur :

    Nom Description
    EventCode ID d’événement Windows
    Fichier journal Nom du journal des événements Windows
    SourceName Nom du fournisseur d’événements Windows
    TimeGenerated Horodatage de l’événement réel. Assurez-vous que la valeur n’est pas l’horodatage de l’arrivée au SIEM, ou quand elle est envoyée à Defender pour Identity. Le format d’horodatage doit être The format should match yyyyMMddHHmmss.FFFFFF, et vous devez utiliser une précision de millisecondes.
    ComputerName Nom d’hôte source
    Message Texte d’origine de l’événement Windows

  • La clé de message et la valeur doivent être les dernières.

  • L’ordre n’est pas important pour les paires clé=valeur.

Un message semblable à ce qui suit s’affiche :

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar active la collecte d’événements via un agent. Si les données sont collectées à l’aide d’un agent, le format d’heure est collecté sans données en millisecondes.

Étant donné que Defender pour Identity a besoin de données en millisecondes, vous devez d’abord configurer QRadar pour utiliser la collecte d’événements Windows sans agent. Pour plus d’informations, consultez QRadar : Collection d’événements Windows sans agent à l’aide du protocole MSRPC.

Utilisez la syntaxe de message suivante pour configurer votre capteur autonome afin qu’il écoute les événements QRadar :

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Dans cette syntaxe, vous devez inclure les champs suivants :

  • Type d’agent pour la collection
  • Nom du fournisseur du journal des événements Windows
  • Source du journal des événements Windows
  • Nom de domaine complet du contrôleur de domaine
  • ID d’événement Windows
  • TimeGenerated, qui est l’horodatage de l’événement réel. Assurez-vous que la valeur n’est pas l’horodatage de l’arrivée au SIEM, ou quand elle est envoyée à Defender pour Identity. Le format d’horodatage doit être The format should match yyyyMMddHHmmss.FFFFFFet doit avoir une précision de millisecondes.

Assurez-vous que le message inclut le texte d’événement d’origine de l’événement Windows et que vous avez \t entre les paires clé=valeur.

Remarque

L’utilisation de WinCollect pour la collection d’événements Windows n’est pas prise en charge.

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :