Udostępnij za pośrednictwem

Nasłuchiwanie zdarzeń SIEM w autonomicznym czujniku usługi Defender for Identity

  • Artykuł

W tym artykule opisano wymaganą składnię komunikatów podczas konfigurowania czujnika autonomicznego usługi Defender for Identity w celu nasłuchiwania obsługiwanych typów zdarzeń SIEM. Nasłuchiwanie zdarzeń SIEM to jedna z metod zwiększania możliwości wykrywania przy użyciu dodatkowych zdarzeń systemu Windows, które nie są dostępne w sieci kontrolera domeny.

Aby uzyskać więcej informacji, zobacz Omówienie zbierania zdarzeń systemu Windows.

Ważna

Czujniki autonomiczne usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń dla systemu Windows (ETW), które dostarczają dane na potrzeby wielu wykryć. Aby uzyskać pełne pokrycie środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.

Analiza zabezpieczeń RSA

Użyj następującej składni komunikatów, aby skonfigurować czujnik autonomiczny do nasłuchiwania zdarzeń usługi RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

W tej składni:

  • Nagłówek dziennika systemowego jest opcjonalny.

  • Separator \n znaków jest wymagany między wszystkimi polami.

  • Pola w kolejności są następujące:

    1. (Wymagane) Stała RsaSA
    2. Sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub wysłanie jej do usługi Defender for Identity. Zdecydowanie zalecamy użycie dokładności milisekund.
    3. Identyfikator zdarzenia systemu Windows
    4. Nazwa dostawcy zdarzeń systemu Windows
    5. Nazwa dziennika zdarzeń systemu Windows
    6. Nazwa komputera odbierającego zdarzenie, na przykład kontroler domeny
    7. Nazwa uwierzytelnianego użytkownika
    8. Nazwa źródłowej nazwy hosta
    9. Kod wyniku NTLM

Ważna

Kolejność pól jest ważna i w komunikacie nie należy uwzględniać żadnych innych elementów.

MicroFocus ArcSight

Użyj następującej składni komunikatów, aby skonfigurować czujnik autonomiczny do nasłuchiwania zdarzeń usługi MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

W tej składni:

  • Komunikat musi być zgodny z definicją protokołu.

  • Nagłówek dziennika systemowego nie jest dołączony.

  • Część nagłówka oddzielona potokiem (|) musi zostać dołączona zgodnie z protokołem

  • Następujące klucze w części Rozszerzenie muszą być obecne w zdarzeniu:

    Klucz Opis
    externalId Identyfikator zdarzenia systemu Windows
    Rt Sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że wartość nie jest znacznikiem czasu przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Upewnij się również, że używasz dokładności milisekund.
    kot Nazwa dziennika zdarzeń systemu Windows
    shost Nazwa hosta źródłowego
    dhost Komputer odbierający zdarzenie, na przykład kontroler domeny
    duser Uwierzytelnianie użytkownika

    Kolejność nie jest ważna dla części Rozszerzenia .

  • Musisz mieć klucz niestandardowy i kluczLable dla następujących pól:

    • EventSource
    • Reason or Error Code = kod wyniku NTLM

Splunk

Użyj następującej składni komunikatów, aby skonfigurować czujnik autonomiczny do nasłuchiwania zdarzeń Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

W tej składni:

  • Nagłówek dziennika systemowego jest opcjonalny.

  • \r\n Istnieje separator znaków między wszystkimi wymaganymi polami. Są CRLF to znaki kontrolki (0D0A w szesnastku), a nie znaki literału.

  • Pola mają key=value format.

  • Następujące klucze muszą istnieć i mieć wartość:

    Name (Nazwa) Opis
    EventCode Identyfikator zdarzenia systemu Windows
    Plik dziennika Nazwa dziennika zdarzeń systemu Windows
    SourceName Nazwa dostawcy zdarzeń systemu Windows
    TimeGenerated Sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że wartość nie jest znacznikiem czasu przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Format znacznika czasu musi mieć The format should match yyyyMMddHHmmss.FFFFFFwartość i należy użyć dokładności milisekund.
    Nazwa komputera Nazwa hosta źródłowego
    Komunikat Oryginalny tekst zdarzenia ze zdarzenia systemu Windows

  • Klucz komunikatu i wartość muszą być ostatnie.

  • Kolejność nie jest ważna dla par key=value.

Zostanie wyświetlony komunikat podobny do następującego:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

Funkcja QRadar umożliwia zbieranie zdarzeń za pośrednictwem agenta. Jeśli dane są zbierane przy użyciu agenta, format czasu jest zbierany bez danych w milisekundach.

Ponieważ usługa Defender for Identity wymaga danych w milisekundach, należy najpierw skonfigurować aplikację QRadar do korzystania z kolekcji zdarzeń systemu Windows bez agenta. Aby uzyskać więcej informacji, zobacz QRadar: Kolekcja zdarzeń systemu Windows bez agenta przy użyciu protokołu MSRPC.

Użyj następującej składni komunikatów, aby skonfigurować czujnik autonomiczny do nasłuchiwania zdarzeń QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

W tej składni należy uwzględnić następujące pola:

  • Typ agenta dla kolekcji
  • Nazwa dostawcy dziennika zdarzeń systemu Windows
  • Źródło dziennika zdarzeń systemu Windows
  • W pełni kwalifikowana nazwa domeny kontrolera domeny
  • Identyfikator zdarzenia systemu Windows
  • TimeGenerated, czyli sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że wartość nie jest znacznikiem czasu przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Format znacznika czasu musi mieć The format should match yyyyMMddHHmmss.FFFFFFwartość i musi mieć dokładność milisekund.

Upewnij się, że komunikat zawiera oryginalny tekst zdarzenia ze zdarzenia systemu Windows i że znajduje się \t między parami key=value.

Uwaga

Używanie funkcji WinCollect dla kolekcji zdarzeń systemu Windows nie jest obsługiwane.

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach: