次の方法で共有

Defender for Identity スタンドアロン センサーで SIEM イベントをリッスンする

  • [アーティクル]

この記事では、サポートされている SIEM イベントの種類をリッスンするように Defender for Identity スタンドアロン センサーを構成するときに必要なメッセージ構文について説明します。 SIEM イベントのリッスンは、ドメイン コントローラー ネットワークから利用できない追加の Windows イベントを使用して検出機能を強化するための 1 つの方法です。

詳細については、「 Windows イベント コレクションの概要」を参照してください。

重要

Defender for Identity スタンドアロン センサーでは、複数の検出のデータを提供するイベント トレース for Windows (ETW) ログ エントリの収集はサポートされていません。 環境を完全にカバーするために、Defender for Identity センサーをデプロイすることをお勧めします。

RSA Security Analytics

次のメッセージ構文を使用して、RSA Security Analytics イベントをリッスンするようにスタンドアロン センサーを構成します。

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

この構文では、

  • syslog ヘッダーは省略可能です。

  • \n文字区切り記号は、すべてのフィールド間で必要です。

  • フィールドの順序は次のとおりです。

    1. (必須)RsaSA 定数
    2. 実際のイベントのタイムスタンプ。 SIEM への 到着 のタイムスタンプ、または Defender for Identity に送信されるタイムスタンプではないことを確認します。 ミリ秒の精度を使用することを強くお勧めします。
    3. Windows イベント ID
    4. Windows イベント プロバイダー名
    5. Windows イベント ログ名
    6. ドメイン コントローラーなど、イベントを受信するコンピューターの名前
    7. 認証するユーザーの名前
    8. ソース ホスト名の名前
    9. NTLM の結果コード

重要

フィールドの順序は重要であり、メッセージには他に何も含めないでください。

MicroFocus ArcSight

次のメッセージ構文を使用して、MicroFocus ArcSight イベントをリッスンするようにスタンドアロン センサーを構成します。

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

この構文では、

  • メッセージはプロトコル定義に準拠している必要があります。

  • syslog ヘッダーは含まれません。

  • プロトコルに記載されているように、 パイプ (|) で区切られたヘッダー部分を含める必要があります

  • Extension パーツの次のキーは、イベントに存在する必要があります。

    キー 説明
    外部ID Windows イベント ID
    rt 実際のイベントのタイムスタンプ。 値が SIEM への 到着 のタイムスタンプではないこと、または Defender for Identity に送信される場合は、その値がであることを確認します。 また、ミリ秒の精度を使用してください。
    Windows イベント ログ名
    shost ソース ホスト名
    dhost ドメイン コントローラーなどのイベントを受信するコンピューター
    duser ユーザーの認証

    この順序は 拡張機能 パーツにとって重要ではありません。

  • 次のフィールドには、カスタム キーと keyLable が必要です。

    • EventSource
    • Reason or Error Code = NTLM の結果コード

Splunk

Splunk イベントをリッスンするようにスタンドアロン センサーを構成するには、次のメッセージ構文を使用します。

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

この構文では、

  • syslog ヘッダーは省略可能です。

  • すべての必須フィールドの間に \r\n 文字区切り記号があります。 これらは CRLF 制御文字であり(16 進数で0D0A )、リテラル文字ではありません。

  • フィールドは key=value 形式です。

  • 次のキーが存在し、値を持っている必要があります。

    名前 説明
    EventCode Windows イベント ID
    Logfile Windows イベント ログ名
    SourceName Windows イベント プロバイダー名
    TimeGenerated 実際のイベントのタイムスタンプ。 値が SIEM への 到着 のタイムスタンプではないこと、または Defender for Identity に送信される場合は、その値がであることを確認します。 タイムスタンプ形式は The format should match yyyyMMddHHmmss.FFFFFFする必要があり、ミリ秒単位の精度を使用する必要があります。
    ComputerName ソース ホスト名
    Message Windows イベントの元のイベント テキスト

  • メッセージ キーと値は最後である必要があります。

  • 順序は、キーと値のペアでは重要ではありません。

次のようなメッセージが表示されます。

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar では、エージェントを介したイベント収集が有効になります。 エージェントを使用してデータが収集された場合、時間形式はミリ秒データなしで収集されます。

Defender for Identity にはミリ秒のデータが必要であるため、まず、エージェントレス Windows イベント コレクションを使用するように QRadar を構成する必要があります。 詳細については、「 QRadar: MSRPC プロトコルを使用したエージェントレス Windows イベント コレクション」を参照してください。

次のメッセージ構文を使用して、QRadar イベントをリッスンするようにスタンドアロン センサーを構成します。

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

この構文では、次のフィールドを含める必要があります。

  • コレクションのエージェントの種類
  • Windows イベント ログ プロバイダー名
  • Windows イベント ログ ソース
  • DC 完全修飾ドメイン名
  • Windows イベント ID
  • TimeGeneratedは、実際のイベントのタイムスタンプです。 値が SIEM への 到着 のタイムスタンプではないこと、または Defender for Identity に送信される場合は、その値がであることを確認します。 タイムスタンプ形式は The format should match yyyyMMddHHmmss.FFFFFFする必要があり、精度はミリ秒である必要があります。

メッセージに Windows イベントの元のイベント テキストが含まれていること、およびキーと値のペアの間に \t があることを確認します。

注:

Windows イベント コレクションに WinCollect を使用することはサポートされていません。

関連コンテンツ

詳細については、以下を参照してください: