Delen via

Luisteren naar SIEM-gebeurtenissen op uw zelfstandige Defender for Identity-sensor

  • Artikel

In dit artikel wordt de vereiste berichtsyntaxis beschreven bij het configureren van een zelfstandige Defender for Identity-sensor om te luisteren naar ondersteunde SIEM-gebeurtenistypen. Luisteren naar SIEM-gebeurtenissen is een methode om uw detectiemogelijkheden te verbeteren met extra Windows-gebeurtenissen die niet beschikbaar zijn via het domeincontrollernetwerk.

Zie Overzicht van Windows-gebeurtenisverzameling voor meer informatie.

Belangrijk

Zelfstandige Defender for Identity-sensoren bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens voor meerdere detecties bieden. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.

RSA Security Analytics

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar RSA Security Analytics-gebeurtenissen:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

In deze syntaxis:

  • De syslog-header is optioneel.

  • Het \n tekenscheidingsteken is vereist tussen alle velden.

  • De velden, in volgorde, zijn:

    1. (Vereist) RsaSA-constante
    2. De tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat het niet de tijdstempel is van de aankomst in de SIEM of wanneer deze naar Defender for Identity wordt verzonden. We raden u ten zeerste aan om een nauwkeurigheid van milliseconden te gebruiken.
    3. De Windows-gebeurtenis-id
    4. De naam van de Windows-gebeurtenisprovider
    5. De naam van het Windows-gebeurtenislogboek
    6. De naam van de computer die de gebeurtenis ontvangt, zoals de domeincontroller
    7. De naam van de gebruiker die zich verificeert
    8. De naam van de bronhostnaam
    9. De resultaatcode van de NTLM

Belangrijk

De volgorde van de velden is belangrijk en er mag niets anders in het bericht worden opgenomen.

MicroFocus ArcSight

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar MicroFocus ArcSight-gebeurtenissen:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

In deze syntaxis:

  • Uw bericht moet voldoen aan de protocoldefinitie.

  • Er is geen syslog-header opgenomen.

  • Het header-gedeelte, gescheiden door een pijp (|) moet worden opgenomen, zoals vermeld in het protocol

  • De volgende sleutels in het onderdeel Extensie moeten aanwezig zijn in de gebeurtenis:

    Sleutel Beschrijving
    externalId De Windows-gebeurtenis-id
    Rt De tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat de waarde niet de tijdstempel is van de aankomst in de SIEM of wanneer deze wordt verzonden naar Defender for Identity. Zorg er ook voor dat u een nauwkeurigheid van milliseconden gebruikt.
    kat De naam van het Windows-gebeurtenislogboek
    shost De hostnaam van de bron
    dhost De computer die de gebeurtenis ontvangt, zoals de domeincontroller
    schemer De gebruiker die zich verificeert

    De volgorde is niet belangrijk voor het onderdeel Extensie .

  • U moet een aangepaste sleutel en keyLable hebben voor de volgende velden:

    • EventSource
    • Reason or Error Code = De resultaatcode van de NTLM

Splunk

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar Splunk-gebeurtenissen:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

In deze syntaxis:

  • De syslog-header is optioneel.

  • Er is een \r\n tekenscheidingsteken tussen alle vereiste velden. Dit zijn CRLF besturingstekens (0D0A in hex) en geen letterlijke tekens.

  • De velden zijn opgemaakt key=value .

  • De volgende sleutels moeten bestaan en een waarde hebben:

    Naam Beschrijving
    EventCode De Windows-gebeurtenis-id
    Logboekbestand De naam van het Windows-gebeurtenislogboek
    SourceName De naam van de Windows-gebeurtenisprovider
    TimeGenerated De tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat de waarde niet de tijdstempel is van de aankomst in de SIEM of wanneer deze wordt verzonden naar Defender for Identity. De tijdstempelnotatie moet zijn The format should match yyyyMMddHHmmss.FFFFFFen u moet een nauwkeurigheid van milliseconden gebruiken.
    Computernaam De hostnaam van de bron
    Bericht De oorspronkelijke gebeurtenistekst van de Windows-gebeurtenis

  • De berichtsleutel en -waarde moeten laatste zijn.

  • De volgorde is niet belangrijk voor de sleutel=waardeparen.

Er wordt een bericht weergegeven dat lijkt op het volgende:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar schakelt het verzamelen van gebeurtenissen via een agent in. Als de gegevens worden verzameld met behulp van een agent, wordt de tijdnotatie verzameld zonder milliseconden.

Omdat Defender for Identity gegevens van milliseconden nodig heeft, moet u QRadar eerst configureren voor het gebruik van windows-gebeurtenisverzameling zonder agent. Zie QRadar: Windows Events Collection zonder agent met behulp van het MSRPC-protocol voor meer informatie.

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar QRadar-gebeurtenissen:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

In deze syntaxis moet u de volgende velden opnemen:

  • Het agenttype voor de verzameling
  • De naam van de Windows-gebeurtenislogboekprovider
  • De windows-gebeurtenislogboekbron
  • De volledig gekwalificeerde DC-domeinnaam
  • De Windows-gebeurtenis-id
  • TimeGenerated, de tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat de waarde niet de tijdstempel is van de aankomst in de SIEM of wanneer deze wordt verzonden naar Defender for Identity. De tijdstempelnotatie moet zijn The format should match yyyyMMddHHmmss.FFFFFFen moet een nauwkeurigheid van milliseconden hebben.

Zorg ervoor dat het bericht de oorspronkelijke gebeurtenistekst van de Windows-gebeurtenis bevat en dat u tussen de sleutel=waardeparen hebt \t .

Opmerking

Het gebruik van WinCollect voor Windows-gebeurtenisverzameling wordt niet ondersteund.

Verwante onderwerpen

Zie voor meer informatie: