侦听 Defender for Identity 独立传感器上的 SIEM 事件
本文介绍配置 Defender for Identity 独立传感器以侦听支持的 SIEM 事件类型时所需的消息语法。 侦听 SIEM 事件是一种使用域控制器网络中不可用的额外 Windows 事件增强检测能力的方法。
有关详细信息,请参阅 Windows 事件集合概述。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW 事件跟踪) 日志条目,这些日志条目为多个检测提供数据。 为了全面覆盖环境,建议部署 Defender for Identity 传感器。
RSA 安全分析
使用以下消息语法将独立传感器配置为侦听 RSA 安全分析事件:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
在此语法中:
syslog 标头是可选的。
\n所有字段之间都需要字符分隔符。按顺序排列的字段包括:
- (必需) RsaSA 常量
- 实际事件的时间戳。 请确保它不是 到达 SIEM 的时间戳,也不是发送到 Defender for Identity 的时间戳。 强烈建议使用毫秒的准确度。
- Windows 事件 ID
- Windows 事件提供程序名称
- Windows 事件日志名称
- 接收事件的计算机的名称,例如域控制器
- 进行身份验证的用户的名称
- 源主机名的名称
- NTLM 的结果代码
重要
字段的顺序很重要,消息中不应包含任何其他内容。
MicroFocus ArcSight
使用以下消息语法将独立传感器配置为侦听 MicroFocus ArcSight 事件:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
在此语法中:
消息必须符合协议定义。
不包含任何 syslog 标头。
必须包括由 管道 () | 分隔的标头部件,如协议中所述
扩展 部件中的 以下键必须存在于 事件中:
键 说明 externalId Windows 事件 ID rt 实际事件的时间戳。 请确保该值不是 到达 SIEM 的时间戳,也不是发送到 Defender for Identity 时的时间戳。 此外,请确保使用毫秒的准确度。 猫 Windows 事件日志名称 shost 源主机名 dhost 接收事件的计算机,例如域控制器 duser 正在进行身份验证的用户 顺序对于 扩展 部件并不重要。
对于以下字段,必须具有自定义密钥和 keyLable :
EventSource-
Reason or Error Code= NTLM 的结果代码
Splunk
使用以下消息语法将独立传感器配置为侦听 Splunk 事件:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
在此语法中:
syslog 标头是可选的。
所有必填字段之间都有字符
\r\n分隔符。 这些是CRLF控制字符, (0D0A十六进制) ,而不是文本字符。这些字段的格式
key=value为 。以下键必须存在并具有值:
名称 说明 EventCode Windows 事件 ID 日志文件 Windows 事件日志名称 SourceName Windows 事件提供程序名称 TimeGenerated 实际事件的时间戳。 请确保该值不是 到达 SIEM 的时间戳,也不是发送到 Defender for Identity 时的时间戳。 时间戳格式必须为 The format should match yyyyMMddHHmmss.FFFFFF,并且必须使用毫秒的准确度。ComputerName 源主机名 邮件 Windows 事件中的原始事件文本 消息键和值必须是最后一个。
顺序对于键值对并不重要。
此时会显示类似于以下内容的消息:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar 通过代理启用事件收集。 如果使用代理收集数据,则收集时间格式时不带毫秒数据。
由于 Defender for Identity 需要毫秒数据,因此必须首先将 QRadar 配置为使用无代理 Windows 事件集合。 有关详细信息,请参阅 QRadar:使用 MSRPC 协议的无代理 Windows 事件集合。
使用以下消息语法将独立传感器配置为侦听 QRadar 事件:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
在此语法中,必须包含以下字段:
- 集合的代理类型
- Windows 事件日志提供程序名称
- Windows 事件日志源
- DC 完全限定的域名
- Windows 事件 ID
-
TimeGenerated,这是实际事件的时间戳。 请确保该值不是 到达 SIEM 的时间戳,也不是发送到 Defender for Identity 时的时间戳。 时间戳格式必须为The format should match yyyyMMddHHmmss.FFFFFF,并且准确度必须为毫秒。
确保消息包含来自 Windows 事件的原始事件文本,并且键=值对之间具有 \t 。
注意
不支持对 Windows 事件集合使用 WinCollect。
相关内容
有关更多信息,请参阅: