Поделиться через

Прослушивание событий SIEM на автономном датчике Defender для удостоверений

  • Статья

В этой статье описывается обязательный синтаксис сообщений при настройке автономного датчика Defender для удостоверений для прослушивания поддерживаемых типов событий SIEM. Прослушивание событий SIEM — это один из способов расширения возможностей обнаружения с помощью дополнительных событий Windows, недоступных в сети контроллера домена.

Дополнительные сведения см. в статье Общие сведения о коллекции событий Windows.

Важно!

Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.

Аналитика безопасности RSA

Используйте следующий синтаксис сообщений, чтобы настроить автономный датчик для прослушивания событий RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

В этом синтаксисе:

  • Заголовок syslog является необязательным.

  • Разделитель \n символов является обязательным для всех полей.

  • Поля по порядку:

    1. (Обязательный) Константа RsaSA
    2. Метка времени фактического события. Убедитесь, что это не метка времени поступления в SIEM или когда она отправляется в Defender для удостоверений. Мы настоятельно рекомендуем использовать точность миллисекунд.
    3. Идентификатор события Windows
    4. Имя поставщика событий Windows
    5. Имя журнала событий Windows
    6. Имя компьютера, получающего событие, например контроллера домена.
    7. Имя пользователя, проверяющего подлинность.
    8. Имя исходного узла
    9. Код результата NTLM

Важно!

Порядок полей важен, и ничего другого не следует включать в сообщение.

MicroFocus ArcSight

Используйте следующий синтаксис сообщений, чтобы настроить автономный датчик для прослушивания событий MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

В этом синтаксисе:

  • Сообщение должно соответствовать определению протокола.

  • Заголовок системного журнала не включен.

  • Часть заголовка, разделенная каналом (|), должна быть включена, как указано в протоколе

  • В событии должны присутствовать следующие ключи в части расширения :

    Key Описание
    externalId Идентификатор события Windows
    rt Метка времени фактического события. Убедитесь, что значение не является меткой времени поступления в SIEM или при его отправке в Defender для удостоверений. Также убедитесь, что используется точность миллисекунда.
    кошка Имя журнала событий Windows
    shost Имя исходного узла
    dhost Компьютер, принимающий событие, например контроллер домена
    duser Проверка подлинности пользователя

    Порядок не важен для части расширения .

  • Необходимо иметь пользовательский ключ и keyLable для следующих полей:

    • EventSource
    • Reason or Error Code = код результата NTLM

Splunk

Используйте следующий синтаксис сообщений, чтобы настроить автономный датчик для прослушивания событий Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

В этом синтаксисе:

  • Заголовок syslog является необязательным.

  • Существует разделитель символов \r\n между всеми обязательными полями. Это управляющие символы CRLF (0D0A в шестнадцатеричном формате), а не литеральные символы.

  • Поля имеют key=value формат.

  • Следующие ключи должны существовать и иметь значение:

    Имя Описание
    EventCode Идентификатор события Windows
    Файл журнала Имя журнала событий Windows
    SourceName Имя поставщика событий Windows
    TimeGenerated Метка времени фактического события. Убедитесь, что значение не является меткой времени поступления в SIEM или при его отправке в Defender для удостоверений. Формат метки времени должен иметь значение The format should match yyyyMMddHHmmss.FFFFFF, и вы должны использовать точность в миллисекундах.
    Имя_компьютера Имя исходного узла
    Сообщение Исходный текст события Из события Windows

  • Ключ сообщения и значение должны быть последними.

  • Порядок не важен для пар "ключ=значение".

Появится сообщение, похожее на следующее:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar включает сбор событий через агент. Если данные собираются с помощью агента, формат времени собирается без миллисекунда данных.

Так как Defender для удостоверений требует миллисекунда данных, необходимо сначала настроить QRadar для использования сбора событий Windows без агента. Дополнительные сведения см. в разделе QRadar: коллекция событий Windows без агента с использованием протокола MSRPC.

Используйте следующий синтаксис сообщений, чтобы настроить автономный датчик для прослушивания событий QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

В этом синтаксисе необходимо включить следующие поля:

  • Тип агента для коллекции
  • Имя поставщика журнала событий Windows
  • Источник журнала событий Windows
  • Полное доменное имя контроллера домена
  • Идентификатор события Windows
  • TimeGenerated, который является меткой времени фактического события. Убедитесь, что значение не является меткой времени поступления в SIEM или при его отправке в Defender для удостоверений. Формат метки времени должен иметь The format should match yyyyMMddHHmmss.FFFFFFзначение и иметь точность миллисекунда.

Убедитесь, что сообщение содержит исходный текст события из события Windows и что между парами "ключ=значение".\t

Примечание.

Использование WinCollect для сбора событий Windows не поддерживается.

Связанные материалы

Дополнительные сведения см. в разделе: