Instalowanie usługi ATA — krok 6
Dotyczy: Advanced Threat Analytics w wersji 1.9
Krok 6. Konfigurowanie zbierania zdarzeń
Konfigurowanie kolekcji zdarzeń
Aby zwiększyć możliwości wykrywania, usługa ATA potrzebuje następujących zdarzeń systemu Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757 i 7045. Te zdarzenia systemu Windows są odczytywane automatycznie przez uproszczoną bramę usługi ATA lub w przypadku, gdy uproszczona brama usługi ATA nie została wdrożona, można je przekazać do bramy usługi ATA na jeden z dwóch sposobów, konfigurując bramę usługi ATA do nasłuchiwania zdarzeń SIEM lub konfigurując przekazywanie zdarzeń systemu Windows.
Uwaga
W przypadku usługi ATA w wersji 1.8 lub nowszej konfiguracja zbierania zdarzeń systemu Windows nie jest już konieczna dla uproszczonych bram usługi ATA. Uproszczona brama usługi ATA odczytuje teraz zdarzenia lokalnie bez konieczności konfigurowania przekazywania zdarzeń.
Oprócz zbierania i analizowania ruchu sieciowego do i z kontrolerów domeny usługa ATA może używać zdarzeń systemu Windows w celu dalszego ulepszenia wykrywania. Używa zdarzenia 4776 dla NTLM, co zwiększa różne wykrywanie i zdarzenia 4732, 4733, 4728, 4729, 4756 i 4757 w celu zwiększenia wykrywania modyfikacji wrażliwych grup. Można to odebrać z rozwiązania SIEM lub ustawiając funkcję przekazywania zdarzeń systemu Windows z kontrolera domeny. Zebrane zdarzenia zapewniają usłudze ATA dodatkowe informacje, które nie są dostępne za pośrednictwem ruchu sieciowego kontrolera domeny.
SIEM/Syslog
Aby usługa ATA mogła korzystać z danych z serwera Syslog, należy wykonać następujące kroki:
- Skonfiguruj serwery bramy usługi ATA do nasłuchiwania i akceptowania zdarzeń przekazywanych z serwera SIEM/Syslog.
Uwaga
Usługa ATA nasłuchuje tylko na IPv4, a nie WPv6.
- Skonfiguruj serwer SIEM/Syslog, aby przekazywać określone zdarzenia do bramy usługi ATA.
Ważna
- Nie przekazuj wszystkich danych dziennika systemu do bramy usługi ATA.
- Usługa ATA obsługuje ruch UDP z serwera SIEM/Syslog.
Zapoznaj się z dokumentacją produktu serwera SIEM/Syslog, aby uzyskać informacje na temat konfigurowania przekazywania określonych zdarzeń do innego serwera.
Uwaga
Jeśli nie używasz serwera SIEM/Syslog, możesz skonfigurować kontrolery domeny systemu Windows do przekazywania identyfikatora zdarzenia systemu Windows 4776 do zbierania i analizowania przez usługę ATA. Identyfikator zdarzenia systemu Windows 4776 udostępnia dane dotyczące uwierzytelniania NTLM.
Konfigurowanie bramy usługi ATA do nasłuchiwania zdarzeń SIEM
W obszarze Konfiguracja usługi ATA w obszarze Źródła danych kliknij pozycję SIEM , włącz dziennik systemowy i kliknij pozycję Zapisz.
Skonfiguruj swój serwer SIEM lub Syslog, aby przekazywać identyfikator zdarzenia systemu Windows 4776 do adresu IP jednej z bram usługi ATA. Aby uzyskać dodatkowe informacje na temat konfigurowania rozwiązania SIEM, zobacz pomoc online rozwiązania SIEM lub opcje pomocy technicznej dotyczące określonych wymagań dotyczących formatowania dla każdego serwera SIEM.
Usługa ATA obsługuje zdarzenia SIEM w następujących formatach:
Analiza zabezpieczeń RSA
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nRRRR$\n\n0x0 MMMMM
Nagłówek dziennika systemu jest opcjonalny.
Między wszystkimi polami jest wymagany separator znaków "\n".
Pola w kolejności są następujące:
- Stała RsaSA (musi być wyświetlana).
- Sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przybycia do EM lub wysłania do usługi ATA). Najlepiej w milisekundach dokładność, jest to ważne.
- Identyfikator zdarzenia systemu Windows
- Nazwa dostawcy zdarzeń systemu Windows
- Nazwa dziennika zdarzeń systemu Windows
- Nazwa komputera odbierającego zdarzenie (kontroler domeny w tym przypadku)
- Nazwa uwierzytelnianego użytkownika
- Nazwa źródłowej nazwy hosta
- Kod wyniku NTLM
Kolejność jest ważna i nic innego nie powinno być zawarte w wiadomości.
MicroFocus ArcSight
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Kontroler domeny próbował zweryfikować poświadczenia dla konta.|Niski| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Musi być zgodna z definicją protokołu.
Brak nagłówka dziennika systemowego.
Część nagłówka (część oddzielona potokiem) musi istnieć (zgodnie z protokołem).
Następujące klucze w części Rozszerzenie muszą być obecne w zdarzeniu:
- externalId = identyfikator zdarzenia systemu Windows
- rt = sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub wysłania do usługi ATA). Najlepiej w milisekundach dokładność, jest to ważne.
- cat = nazwa dziennika zdarzeń systemu Windows
- shost = nazwa hosta źródłowego
- dhost = komputer odbierający zdarzenie (kontroler domeny w tym przypadku)
- duser = uwierzytelnienie użytkownika
Kolejność nie jest ważna dla części Rozszerzenia
Dla tych dwóch pól musi istnieć klucz niestandardowy i możliwość keyLable:
- "EventSource"
- "Kod przyczyny lub błędu" = kod wyniku NTLM
Splunk
<Nagłówek> Syslog\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYYY\r\nMessage=
Komputer próbował zweryfikować poświadczenia dla konta.
Pakiet uwierzytelniania: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Konto logowania: Administrator
Źródłowa stacja robocza: SIEM
Kod błędu: 0x0
Nagłówek dziennika systemu jest opcjonalny.
Istnieje separator znaków "\r\n" między wszystkimi wymaganymi polami. Należy pamiętać, że są to znaki kontrolki CRLF (0D0A w szesnastce), a nie znaki literału.
Pola mają format key=value.
Następujące klucze muszą istnieć i mieć wartość:
- EventCode = identyfikator zdarzenia systemu Windows
- Logfile = nazwa dziennika zdarzeń systemu Windows
- SourceName = nazwa dostawcy zdarzeń systemu Windows
- TimeGenerated = sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przylotu do rozwiązania SIEM lub gdy jest ono wysyłane do usługi ATA). Format powinien być zgodny z formatem yyyyMMddHHmmss.FFFFFF, najlepiej w milisekundach dokładności, jest to ważne.
- ComputerName = nazwa hosta źródłowego
- Message = oryginalny tekst zdarzenia ze zdarzenia systemu Windows
Klucz komunikatu i wartość MUSZĄ być ostatnie.
Kolejność nie jest ważna dla par key=value.
QRadar
Funkcja QRadar umożliwia zbieranie zdarzeń za pośrednictwem agenta. Jeśli dane są zbierane przy użyciu agenta, format czasu jest zbierany bez danych w milisekundach. Ponieważ usługa ATA wymaga danych w milisekundach, należy ustawić funkcję QRadar tak, aby używała kolekcji zdarzeń systemu Windows bez agenta. Aby uzyskać więcej informacji, zobacz QRadar: Kolekcja zdarzeń systemu Windows bez agenta przy użyciu protokołu MSRPC.
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
Potrzebne pola to:
Typ agenta dla kolekcji
Nazwa dostawcy dziennika zdarzeń systemu Windows
Źródło dziennika zdarzeń systemu Windows
W pełni kwalifikowana nazwa domeny kontrolera domeny
Identyfikator zdarzenia systemu Windows
TimeGenerated to sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przylotu do rozwiązania SIEM lub gdy jest ono wysyłane do usługi ATA). Format powinien być zgodny z formatem yyyyMMddHHmmss.FFFFFF, najlepiej w milisekundach dokładności, jest to ważne.
Komunikat jest oryginalnym tekstem zdarzenia z zdarzenia systemu Windows
Upewnij się, że masz \t między parami key=value.
Uwaga
Używanie funkcji WinCollect dla kolekcji zdarzeń systemu Windows nie jest obsługiwane.