安裝 ATA - 步驟 6
適用於:Advanced Threat Analytics 1.9 版
步驟 6:設定事件收集
設定事件集合
為了增強偵測功能,ATA 需要下列 Windows 事件:4776、4732、4733、4728、4729、4756、4757 和 7045。 ATA 輕量型閘道會自動讀取這些 Windows 事件,或者如果 ATA 輕量型閘道未部署,可以透過兩種方式之一轉送至 ATA 閘道,方法是設定 ATA 閘道接聽 SIEM 事件或設定 Windows 事件轉送。
注意事項
針對 ATA 1.8 版和更新版本,ATA 輕量型閘道不再需要 Windows 事件集合設定。 ATA 輕量型閘道現在會在本機讀取事件,而不需要設定事件轉送。
除了收集和分析進出域控制器的網路流量之外,ATA 還可以使用 Windows 事件來進一步增強偵測。 它會針對 NTLM 使用事件 4776,以增強各種偵測和事件 4732、4733、4728、4729、4756 和 4757,以增強敏感性群組修改的偵測。 這可以從您的 SIEM 接收,或從域控制器設定 Windows 事件轉送來接收。 收集的事件會提供 ATA 無法透過域控制器網路流量取得的其他資訊。
SIEM/Syslog
若要讓 ATA 能夠從 Syslog 伺服器取用資料,您必須執行下列步驟:
- 設定 ATA 閘道伺服器接聽並接受從 SIEM/Syslog 伺服器轉送的事件。
注意事項
ATA 只會接聽 IPv4,而不會接聽 IPv6。
- 設定 SIEM/Syslog 伺服器,以將特定事件轉送至 ATA 閘道。
重要事項
- 請勿將所有 Syslog 資料轉送至 ATA 閘道。
- ATA 支援來自 SIEM/Syslog 伺服器的 UDP 流量。
如需如何設定將特定事件轉送至另一部伺服器的資訊,請參閱 SIEM/Syslog 伺服器的產品檔。
注意事項
如果您未使用 SIEM/Syslog 伺服器,您可以設定 Windows 域控制器轉寄要由 ATA 收集和分析的 Windows 事件識別碼 4776。 Windows 事件標識碼 4776 提供 NTLM 驗證的相關數據。
設定 ATA 閘道以接聽 SIEM 事件
在 [ATA 組態] 的 [ 數據源] 下,按兩下 [SIEM ],然後開啟 [Syslog ],然後按兩下 [ 儲存]。
設定 SIEM 或 Syslog 伺服器,將 Windows 事件識別碼 4776 轉寄至其中一個 ATA 閘道的 IP 位址。 如需設定 SIEM 的其他資訊,請參閱 SIEM 在線說明或技術支援選項,以瞭解每個 SIEM 伺服器的特定格式化需求。
ATA 支援下列格式的 SIEM 事件:
RSA 安全性分析
<Syslog 標>頭 RsaSA\n2015 年 5 月 19 日 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYY$\nMMMMM \n0x0
Syslog 標頭是選擇性的。
所有欄位之間都需要 「\n」 字元分隔符。
依序排列的欄位如下:
- RsaSA 常數 (必須顯示) 。
- 實際事件的時間戳 (確定它不是抵達EM或傳送至 ATA) 的時間戳。 最好是以毫秒為單位的精確度,這很重要。
- Windows 事件標識碼
- Windows 事件提供者名稱
- Windows 事件記錄檔名稱
- 在此案例中,接收事件 (DC 的電腦名稱)
- 驗證用戶的名稱
- 來源主機名的名稱
- NTLM 的結果碼
順序很重要,訊息中不應包含任何其他專案。
MicroFocus ArcSight
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|域控制器嘗試驗證帳戶的認證。|低|externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason 或 Error Code
必須符合通訊協議定義。
沒有 syslog 標頭。
標頭元件 (以管道分隔的元件) 必須存在 (如通訊協定) 中所述。
擴充功能元件中的下列索引鍵必須出現在 事件中:
- externalId = Windows 事件標識符
- rt = 實際事件的時間戳 (確定它不是抵達 SIEM 或傳送至 ATA) 的時間戳。 最好是以毫秒為單位的精確度,這很重要。
- cat = Windows 事件記錄檔名稱
- shost = 來源主機名
- dhost = 在此案例中接收 DC (事件的電腦)
- duser = 用戶驗證
此順序對 擴 充功能元件而言並不重要
這兩個字段必須有自定義金鑰和 keyLable:
- “EventSource”
- “Reason or Error Code” = NTLM 的結果碼
Splunk
<Syslog 標頭>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
計算機嘗試驗證帳戶的認證。
驗證套件:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登入帳戶:系統管理員
來源工作站:SIEM
錯誤碼:0x0
Syslog 標頭是選擇性的。
所有必要欄位之間都有「\r\n」字元分隔符。 請注意,這些是十六進位) 的控件字元 CRLF (0D0A,而不是常值字元。
欄位的格式為key=value。
下列索引鍵必須存在且具有 值:
- EventCode = Windows 事件標識符
- Logfile = Windows 事件記錄檔名稱
- SourceName = Windows 事件提供者名稱
- TimeGenerated = 實際事件的時間戳 (確定它不是抵達 SIEM 或傳送至 ATA) 的時間戳。 格式應該符合 yyyyMMddHHmmss.FFFFFF,最好是以毫秒為單位的精確度,這很重要。
- ComputerName = 來源主機名
- Message = 來自 Windows 事件的原始事件文字
訊息索引鍵和值必須是最後一個。
索引鍵=值組的順序並不重要。
QRadar
QRadar 可透過代理程式啟用事件收集。 如果使用代理程式收集數據,則會收集沒有毫秒數據的時間格式。 由於 ATA 需要毫秒數據,因此必須將 QRadar 設定為使用無代理程式 Windows 事件收集。 如需詳細資訊,請參閱 QRadar:使用 MSRPC 通訊協定的無代理程式 Windows 事件集合。
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
所需的欄位如下:
集合的代理程序類型
Windows 事件記錄提供者名稱
Windows 事件記錄檔來源
DC 完整功能變數名稱
Windows 事件標識碼
TimeGenerated 是實際事件的時間戳 (請確定它不是抵達 SIEM 或傳送至 ATA) 的時間戳。 格式應該符合 yyyyMMddHHmmss.FFFFFF,最好是以毫秒為單位的精確度,這很重要。
訊息是來自 Windows 事件的原始事件文字
請務必在索引鍵=值組之間有 \t。
注意事項
不支援使用 WinCollect for Windows 事件集合。