다음을 통해 공유

Defender for Identity 독립 실행형 센서에서 SIEM 이벤트 수신 대기

  • 아티클

이 문서에서는 지원되는 SIEM 이벤트 유형을 수신 대기하도록 Defender for Identity 독립 실행형 센서를 구성할 때 필요한 메시지 구문을 설명합니다. SIEM 이벤트 수신 대기는 도메인 컨트롤러 네트워크에서 사용할 수 없는 추가 Windows 이벤트를 사용하여 검색 기능을 향상시키는 한 가지 방법입니다.

자세한 내용은 Windows 이벤트 컬렉션 개요를 참조하세요.

중요

Defender for Identity 독립 실행형 센서는 여러 검색에 대한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 컬렉션을 지원하지 않습니다. 환경을 전체적으로 검사하려면 Defender for Identity 센서를 배포하는 것이 좋습니다.

RSA 보안 분석

다음 메시지 구문을 사용하여 RSA Security Analytics 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

이 구문에서 다음을 수행합니다.

  • syslog 헤더는 선택 사항입니다.

  • \n 문자 구분 기호는 모든 필드 간에 필요합니다.

  • 순서대로 필드는 다음과 같습니다.

    1. (필수) RsaSA 상수
    2. 실제 이벤트의 타임스탬프입니다. SIEM 에 도착하는 타임스탬프가 아니거나 Defender for Identity로 전송되는 시기가 아닌지 확인합니다. 밀리초의 정확도를 사용하는 것이 좋습니다.
    3. Windows 이벤트 ID
    4. Windows 이벤트 공급자 이름
    5. Windows 이벤트 로그 이름
    6. 이벤트를 수신하는 컴퓨터의 이름(예: 도메인 컨트롤러)
    7. 인증하는 사용자의 이름
    8. 원본 호스트 이름의 이름
    9. NTLM의 결과 코드

중요

필드의 순서가 중요하며 메시지에 다른 항목이 포함되어서는 안 됩니다.

MicroFocus ArcSight

다음 메시지 구문을 사용하여 MicroFocus ArcSight 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

이 구문에서 다음을 수행합니다.

  • 메시지는 프로토콜 정의를 준수해야 합니다.

  • syslog 헤더는 포함되지 않습니다.

  • 프로토콜에 설명된 대로 파이프 (|)로 구분된 헤더 부분을 포함해야 합니다.

  • 확장 파트의 다음 키는 이벤트에 있어야 합니다.

    설명
    externalId Windows 이벤트 ID
    rt(rt) 실제 이벤트의 타임스탬프입니다. 값이 SIEM 도착의 타임스탬프가 아니거나 Defender for Identity로 전송되는 시점이 아닌지 확인합니다. 또한 밀리초의 정확도를 사용해야 합니다.
    고양이 Windows 이벤트 로그 이름
    shost 원본 호스트 이름
    dhost 도메인 컨트롤러와 같은 이벤트를 수신하는 컴퓨터
    duser 사용자가 인증하는 경우

    확장 부분에는 순서가 중요하지 않습니다.

  • 다음 필드에 대한 사용자 지정 키와 keyLable 이 있어야 합니다.

    • EventSource
    • Reason or Error Code = NTLM의 결과 코드

스플렁크 주

다음 메시지 구문을 사용하여 Splunk 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

이 구문에서 다음을 수행합니다.

  • syslog 헤더는 선택 사항입니다.

  • \r\n 모든 필수 필드 사이에 문자 구분 기호가 있습니다. 리터럴 문자가 CRLF 아닌 컨트롤 문자(0D0A 16진수)입니다.

  • 필드는 형식입니다 key=value .

  • 다음 키가 있어야 하며 값이 있어야 합니다.

    이름 설명
    EventCode Windows 이벤트 ID
    로그 파일 Windows 이벤트 로그 이름
    SourceName Windows 이벤트 공급자 이름
    TimeGenerated 실제 이벤트의 타임스탬프입니다. 값이 SIEM 도착의 타임스탬프가 아니거나 Defender for Identity로 전송되는 시점이 아닌지 확인합니다. 타임스탬프 형식은 이어야 The format should match yyyyMMddHHmmss.FFFFFF하며 밀리초의 정확도를 사용해야 합니다.
    ComputerName 원본 호스트 이름
    메시지 Windows 이벤트의 원래 이벤트 텍스트

  • 메시지 키와 값은 마지막이어야 합니다.

  • 키=값 쌍에는 순서가 중요하지 않습니다.

다음과 유사한 메시지가 나타납니다.

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar는 에이전트를 통해 이벤트 수집을 사용하도록 설정합니다. 에이전트를 사용하여 데이터를 수집하는 경우 시간 형식은 밀리초 데이터 없이 수집됩니다.

Defender for Identity에는 밀리초의 데이터가 필요하므로 먼저 에이전트 없는 Windows 이벤트 컬렉션을 사용하도록 QRadar를 구성해야 합니다. 자세한 내용은 QRadar: MSRPC 프로토콜을 사용하는 에이전트 없는 Windows 이벤트 컬렉션을 참조하세요.

다음 메시지 구문을 사용하여 QRadar 이벤트를 수신 대기하도록 독립 실행형 센서를 구성합니다.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

이 구문에는 다음 필드가 포함되어야 합니다.

  • 컬렉션의 에이전트 유형
  • Windows 이벤트 로그 공급자 이름
  • Windows 이벤트 로그 원본
  • DC 정규화된 도메인 이름
  • Windows 이벤트 ID
  • TimeGenerated는 실제 이벤트의 타임스탬프입니다. 값이 SIEM 도착의 타임스탬프가 아니거나 Defender for Identity로 전송되는 시점이 아닌지 확인합니다. 타임스탬프 형식은 이어야 The format should match yyyyMMddHHmmss.FFFFFF하며 정확도는 밀리초여야 합니다.

메시지에 Windows 이벤트의 원래 이벤트 텍스트가 포함되어 있고 key=value 쌍 사이에 있는지 \t 확인합니다.

참고

Windows용 WinCollect 이벤트 컬렉션 사용은 지원되지 않습니다.

관련 콘텐츠

자세한 내용은 다음 항목을 참조하세요.