Partilhar via


Escutar eventos SIEM no sensor autónomo do Defender para Identidade

Este artigo descreve a sintaxe da mensagem necessária ao configurar um sensor autónomo do Defender para Identidade para escutar os tipos de eventos SIEM suportados. A escuta de eventos SIEM é um método para melhorar as suas capacidades de deteção com eventos adicionais do Windows que não estão disponíveis na rede do controlador de domínio.

Para obter mais informações, consulte Descrição geral da coleção de eventos do Windows.

Importante

Os sensores autónomos do Defender para Identidade não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implementação do sensor do Defender para Identidade.

Análise de Segurança RSA

Utilize a seguinte sintaxe de mensagens para configurar o sensor autónomo para escutar eventos da Análise de Segurança RSA:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

Nesta sintaxe:

  • O cabeçalho do syslog é opcional.

  • O \n separador de carateres é necessário entre todos os campos.

  • Os campos, por ordem, são:

    1. (Obrigatório) Constante RsaSA
    2. O carimbo de data/hora do evento real. Certifique-se de que não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. Recomendamos vivamente que utilize uma precisão de milissegundos.
    3. O ID do evento do Windows
    4. O nome do fornecedor de eventos do Windows
    5. O nome do registo de eventos do Windows
    6. O nome do computador que recebe o evento, como o controlador de domínio
    7. O nome do utilizador que está a autenticar
    8. O nome do nome do anfitrião de origem
    9. O código de resultado do NTLM

Importante

A ordem dos campos é importante e nada mais deve ser incluído na mensagem.

MicroFocus ArcSight

Utilize a seguinte sintaxe de mensagem para configurar o sensor autónomo para escutar eventos do MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

Nesta sintaxe:

  • A sua mensagem tem de estar em conformidade com a definição do protocolo.

  • Não está incluído nenhum cabeçalho syslog.

  • A parte do cabeçalho, separada por um pipe (|) tem de ser incluída, conforme indicado no protocolo

  • As seguintes chaves na peça Extensão têm de estar presentes no evento:

    Chave Descrição
    externalId O ID do evento do Windows
    rt O carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. Certifique-se também de que utiliza uma precisão de milissegundos.
    gato O nome do registo de eventos do Windows
    shost O nome do anfitrião de origem
    dhost O computador que recebe o evento, como o controlador de domínio
    duser O utilizador a autenticar

    A encomenda não é importante para a parte da Extensão .

  • Tem de ter uma chave personalizada e keyLable para os seguintes campos:

    • EventSource
    • Reason or Error Code = O código de resultado do NTLM

Splunk

Utilize a seguinte sintaxe de mensagem para configurar o sensor autónomo para escutar eventos do Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Nesta sintaxe:

  • O cabeçalho do syslog é opcional.

  • Existe um \r\n separador de carateres entre todos os campos necessários. Estes são CRLF carateres de controlo(0D0A em hex) e não carateres literais.

  • Os campos estão em key=value formato.

  • As seguintes chaves têm de existir e ter um valor:

    Name Descrição
    EventCode O ID do evento do Windows
    Logfile O nome do registo de eventos do Windows
    SourceName O nome do fornecedor de eventos do Windows
    TimeGenerated O carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. O formato de carimbo de data/hora tem de ser The format should match yyyyMMddHHmmss.FFFFFFe tem de utilizar uma precisão de milissegundos.
    ComputerName O nome do anfitrião de origem
    Mensagem O texto original do evento do Windows
  • A Chave da Mensagem e o valor têm de ser os últimos.

  • A ordem não é importante para os pares key=value.

É apresentada uma mensagem semelhante à seguinte:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

O QRadar ativa a recolha de eventos através de um agente. Se os dados forem recolhidos com um agente, o formato de hora é recolhido sem dados milissegundos.

Uma vez que o Defender para Identidade precisa de dados milissegundos, primeiro tem de configurar o QRadar para utilizar a recolha de eventos do Windows sem agente. Para obter mais informações, veja QRadar: Coleção de Eventos do Windows sem Agente com o Protocolo MSRPC.

Utilize a seguinte sintaxe de mensagem para configurar o sensor autónomo para escutar eventos do QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Nesta sintaxe, tem de incluir os seguintes campos:

  • O tipo de agente da coleção
  • O nome do fornecedor do registo de eventos do Windows
  • A origem do registo de eventos do Windows
  • O nome de domínio completamente qualificado do DC
  • O ID do evento do Windows
  • TimeGenerated, que é o carimbo de data/hora do evento real. Certifique-se de que o valor não é o carimbo de data/hora da chegada ao SIEM ou quando é enviado para o Defender para Identidade. O formato de carimbo de data/hora tem de ser The format should match yyyyMMddHHmmss.FFFFFFe tem de ter uma precisão de milissegundos.

Certifique-se de que a mensagem inclui o texto original do evento do Windows e que tem \t entre os pares key=value.

Nota

A utilização do WinCollect para a coleção de eventos do Windows não é suportada.

Para mais informações, consulte: