共用方式為

在適用於身分識別的 Defender 獨立感測器上接聽 SIEM 事件

  • 發行項

本文說明設定適用於身分識別的 Defender 獨立感測器接聽支援的 SIEM 事件類型時所需的訊息語法。 接聽 SIEM 事件是使用域控制器網路無法使用的額外 Windows 事件來增強偵測能力的一種方法。

如需詳細資訊,請參閱 Windows 事件集合概觀

重要事項

適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,以提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。

RSA 安全性分析

使用下列訊息語法來設定獨立感測器以接聽 RSA 安全性分析事件:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

在此語法中:

  • syslog 標頭是選擇性的。

  • \n所有欄位之間都需要字元分隔符。

  • 依序排列的欄位如下:

    1. (必要) RsaSA 常數
    2. 實際事件的時間戳。 請確定它不是 抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 的時間戳。 強烈建議使用毫秒的精確度。
    3. Windows 事件標識碼
    4. Windows 事件提供者名稱
    5. Windows 事件記錄檔名稱
    6. 接收事件的計算機名稱,例如域控制器
    7. 驗證用戶的名稱
    8. 來源主機名的名稱
    9. NTLM 的結果碼

重要事項

欄位的順序很重要,訊息中不應包含任何其他專案。

MicroFocus ArcSight

使用下列訊息語法來設定獨立感測器以接聽 MicroFocus ArcSight 事件:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

在此語法中:

  • 您的訊息必須符合通訊協議定義。

  • 不包含 syslog 標頭。

  • 必須包含標頭元件,以 管道 分隔 (|) ,如通訊協定中所述

  • 擴充功能元件中的下列索引鍵必須出現在 事件中:

    機碼 描述
    externalId Windows 事件標識碼
    rt 實際事件的時間戳。 請確定值不是 抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 的時間戳。 也請務必使用毫秒的精確度。
    Windows 事件記錄檔名稱
    shost 來源主機名
    dhost 接收事件的計算機,例如域控制器
    duser 正在驗證的使用者

    此順序對 充功能部分而言並不重要。

  • 您必須具有自訂金鑰和 keyLable ,以用於下列欄位:

    • EventSource
    • Reason or Error Code = NTLM 的結果碼

Splunk

使用下列訊息語法,將獨立感測器設定為接聽 Splunk 事件:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

在此語法中:

  • syslog 標頭是選擇性的。

  • \r\n所有必要欄位之間都有字元分隔符。 這些是 CRLF 控制字元, (0D0A 十六進位) ,而不是常值字元。

  • 欄位格式 key=value 為 。

  • 下列索引鍵必須存在且具有 值:

    名稱 描述
    EventCode Windows 事件標識碼
    Logfile Windows 事件記錄檔名稱
    SourceName Windows 事件提供者名稱
    TimeGenerated 實際事件的時間戳。 請確定值不是 抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 的時間戳。 時間戳格式必須是 The format should match yyyyMMddHHmmss.FFFFFF,而且您必須使用毫秒的精確度。
    ComputerName 來源主機名
    訊息 來自 Windows 事件的原始事件文字

  • 訊息索引鍵和值必須是最後一個。

  • 對於key=value 配對而言,順序並不重要。

如下所示的訊息隨即出現:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar 可透過代理程式啟用事件收集。 如果使用代理程式收集數據,則會收集沒有毫秒數據的時間格式。

由於適用於身分識別的 Defender 需要毫秒數據,因此您必須先將 QRadar 設定為使用無代理程式 Windows 事件收集。 如需詳細資訊,請參閱 QRadar:使用 MSRPC 通訊協定的無代理程式 Windows 事件集合

使用下列訊息語法來設定獨立感測器以接聽 QRadar 事件:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

在此語法中,您必須包含下列欄位:

  • 集合的代理程序類型
  • Windows 事件記錄提供者名稱
  • Windows 事件記錄檔來源
  • DC 完整功能變數名稱
  • Windows 事件標識碼
  • TimeGenerated,這是實際事件的時間戳。 請確定值不是 抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 的時間戳。 時間戳格式必須是 The format should match yyyyMMddHHmmss.FFFFFF,且的精確度必須為毫秒。

請確定訊息包含來自 Windows 事件的原始事件文字,而且您在 key=value 組之間有 \t

注意事項

不支援使用 WinCollect for Windows 事件集合。

相關內容

如需詳細資訊,請參閱: