Del via

Lytt etter SIEM-hendelser på din frittstående Defender for Identity-sensor

  • Artikkel

Denne artikkelen beskriver den nødvendige meldingssyntaksen når du konfigurerer en frittstående Defender for Identity-sensor til å lytte etter støttede SIEM-hendelsestyper. Lytting etter SIEM-hendelser er én metode for å forbedre gjenkjenningsevnen med ekstra Windows-hendelser som ikke er tilgjengelige fra domenekontrollernettverket.

Hvis du vil ha mer informasjon, kan du se oversikt over Hendelsessamling i Windows.

Viktig

Defender for Identity frittstående sensorer støtter ikke innsamling av loggoppføringer for hendelsessporing for Windows (ETW) som gir dataene for flere gjenkjenninger. Hvis du vil ha full dekning av miljøet ditt, anbefaler vi at du distribuerer Defender for Identity-sensoren.

RSA Security Analytics

Bruk følgende meldingssyntaks til å konfigurere den frittstående sensoren til å lytte etter RSA Security Analytics-hendelser:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

I denne syntaksen:

  • Syslog-toppteksten er valgfri.

  • Tegnskilletegnet \n er obligatorisk mellom alle felt.

  • Feltene i rekkefølge er:

    1. (Obligatorisk) RsaSA-konstant
    2. Tidsstempelet for den faktiske hendelsen. Kontroller at det ikke er tidsstempelet for ankomst til SIEM, eller når det sendes til Defender for identitet. Vi anbefaler på det sterkeste å bruke en nøyaktighet på millisekunder.
    3. Hendelses-ID-en for Windows
    4. Navnet på windows-hendelsesleverandøren
    5. Navnet på hendelsesloggen i Windows
    6. Navnet på datamaskinen som mottar hendelsen, for eksempel domenekontrolleren
    7. Navnet på brukeren som godkjenner
    8. Navnet på kildevertsnavnet
    9. Resultatkoden for NTLM

Viktig

Rekkefølgen på feltene er viktig, og ingenting annet bør inkluderes i meldingen.

MicroFocus ArcSight

Bruk følgende meldingssyntaks til å konfigurere den frittstående sensoren til å lytte etter MicroFocus ArcSight-hendelser:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

I denne syntaksen:

  • Meldingen må samsvare med protokolldefinisjonen.

  • Ingen sysloghode er inkludert.

  • Topptekstdelen, atskilt med en datakanal (|) må inkluderes, som angitt i protokollen

  • Følgende nøkler i utvidelsesdelen må være til stede i hendelsen:

    Nøkkel Beskrivelse
    externalId Hendelses-ID-en for Windows
    Rt Tidsstempelet for den faktiske hendelsen. Kontroller at verdien ikke er tidsstempelet for ankomst til SIEM, eller når den sendes til Defender for identitet. Pass også på å bruke en nøyaktighet på millisekunder.
    katt Navnet på hendelsesloggen i Windows
    vis Navnet på kildeverten
    dhost Datamaskinen som mottar hendelsen, for eksempel domenekontrolleren
    duser Brukeren godkjenner

    Bestillingen er ikke viktig for utvidelsesdelen .

  • Du må ha en egendefinert nøkkel og nøkkellabel for følgende felt:

    • EventSource
    • Reason or Error Code = Resultatkoden for NTLM

Splunk

Bruk følgende meldingssyntaks til å konfigurere den frittstående sensoren til å lytte etter Splunk-hendelser:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

I denne syntaksen:

  • Syslog-toppteksten er valgfri.

  • Det er et \r\n tegnskilletegn mellom alle obligatoriske felt. Dette er CRLF kontrolltegn (0D0A i heksadesimale) og ikke litterale tegn.

  • Feltene er i key=value format.

  • Følgende nøkler må finnes og ha en verdi:

    Navn Beskrivelse
    EventCode Hendelses-ID-en for Windows
    Logfile Navnet på hendelsesloggen i Windows
    SourceName Navnet på windows-hendelsesleverandøren
    TimeGenerated Tidsstempelet for den faktiske hendelsen. Kontroller at verdien ikke er tidsstempelet for ankomst til SIEM, eller når den sendes til Defender for identitet. Tidsstempelformatet må være The format should match yyyyMMddHHmmss.FFFFFF, og du må bruke en nøyaktighet på millisekunder.
    Datamaskinnavn Navnet på kildeverten
    Melding Den opprinnelige hendelsesteksten fra Windows-hendelsen

  • Meldingsnøkkelen og -verdien må være sist.

  • Rekkefølgen er ikke viktig for nøkkel=verdiparene.

En melding som ligner på følgende, vises:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar muliggjør hendelsesinnsamling via en agent. Hvis dataene samles inn ved hjelp av en agent, samles tidsformatet inn uten millisekunders data.

Siden Defender for Identity trenger millisekund-data, må du først konfigurere QRadar til å bruke agentløs Windows-hendelsessamling. Hvis du vil ha mer informasjon, kan du se QRadar: Agentless Windows Events Collection ved hjelp av MSRPC Protocol.

Bruk følgende meldingssyntaks til å konfigurere den frittstående sensoren til å lytte etter QRadar-hendelser:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

I denne syntaksen må du inkludere følgende felt:

  • Agenttypen for samlingen
  • Navnet på windows-hendelsesloggleverandøren
  • Windows-hendelsesloggkilden
  • Det fullstendige domenenavnet for DC
  • Hendelses-ID-en for Windows
  • TimeGenerated, som er tidsstempelet for den faktiske hendelsen. Kontroller at verdien ikke er tidsstempelet for ankomst til SIEM, eller når den sendes til Defender for identitet. Tidsstempelformatet må være The format should match yyyyMMddHHmmss.FFFFFF, og må ha en nøyaktighet på millisekunder.

Kontroller at meldingen inneholder den opprinnelige hendelsesteksten fra Windows-hendelsen, og at du har \t mellom nøkkel=verdiparene.

Obs!

Bruk av WinCollect for Windows-hendelsessamlingen støttes ikke.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se: