Naslouchání událostem SIEM na samostatném senzoru Defenderu for Identity

Tento článek popisuje požadovanou syntaxi zpráv při konfiguraci samostatného senzoru Defenderu for Identity pro naslouchání podporovaným typům událostí SIEM. Naslouchání událostem SIEM je jednou z metod pro vylepšení schopností detekce s dalšími událostmi Windows, které nejsou dostupné ze sítě řadiče domény.

Další informace najdete v tématu Přehled shromažďování událostí systému Windows.

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.

Analýza zabezpečení RSA

Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

V této syntaxi:

  • Hlavička syslogu je volitelná.

  • Oddělovač \n znaků je povinný mezi všemi poli.

  • Pole v pořadí jsou:

    1. (Povinné) Konstanta RsaSA
    2. Časové razítko skutečné události. Ujistěte se, že se nejedná o časové razítko příjezdu do SIEM nebo odeslání do Defenderu for Identity. Důrazně doporučujeme použít přesnost milisekund.
    3. ID události Windows
    4. Název zprostředkovatele událostí Systému Windows
    5. Název protokolu událostí Systému Windows
    6. Název počítače, který událost přijímá, například řadič domény
    7. Jméno uživatele, který se ověřuje
    8. Název zdrojového hostitele
    9. Kód výsledku NTLM

Důležité

Pořadí polí je důležité a do zprávy by se nemělo zahrnout nic jiného.

MicroFocus ArcSight

Pomocí následující syntaxe zpráv nakonfigurujte samostatný senzor tak, aby naslouchal událostem MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

V této syntaxi:

  • Vaše zpráva musí splňovat definici protokolu.

  • Není zahrnuta žádná hlavička syslogu.

  • Část záhlaví oddělená kanálem (|) musí být zahrnuta, jak je uvedeno v protokolu.

  • V případě události musí být přítomny následující klíče v části Rozšíření :

    Key Popis
    externalId ID události Windows
    Rt Časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem přijetí do SIEM nebo když je odeslána do Defenderu pro identitu. Nezapomeňte také použít přesnost milisekund.
    Kočka Název protokolu událostí Systému Windows
    shost Název zdrojového hostitele
    dhost Počítač, který událost přijímá, například řadič domény
    duser Uživatel, který ověřuje

    Pořadí není pro část Rozšíření důležité.

  • Pro následující pole musíte mít vlastní klíč a klíčLable :

    • EventSource
    • Reason or Error Code = Kód výsledku NTLM

Splunk

Ke konfiguraci samostatného senzoru pro naslouchání událostem Splunk použijte následující syntaxi zprávy:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

V této syntaxi:

  • Hlavička syslogu je volitelná.

  • Mezi všemi povinnými \r\n poli je oddělovač znaků. Jedná se o CRLF řídicí znaky (0D0A v šestnáctkovém) a ne literálové znaky.

  • Pole jsou ve key=value formátu.

  • Musí existovat následující klíče a mít hodnotu:

    Název Popis
    EventCode ID události Windows
    Logfile Název protokolu událostí Systému Windows
    SourceName Název zprostředkovatele událostí Systému Windows
    TimeGenerated Časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem přijetí do SIEM nebo když je odeslána do Defenderu pro identitu. Formát časového razítka musí být The format should match yyyyMMddHHmmss.FFFFFFa musíte použít přesnost milisekund.
    ComputerName Název zdrojového hostitele
    Message Původní text události z události Windows
  • Klíč zprávy a hodnota musí být poslední.

  • Pořadí není pro páry klíč=hodnota důležité.

Zobrazí se zpráva podobná následující:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar umožňuje shromažďování událostí prostřednictvím agenta. Pokud se data shromáždí pomocí agenta, shromáždí se formát času bez milisekundových dat.

Vzhledem k tomu, že Defender for Identity potřebuje data v milisekundách, musíte nejprve nakonfigurovat QRadar tak, aby používal kolekci událostí windows bez agentů. Další informace naleznete v tématu QRadar: Agentless Windows Events Collection using the MSRPC Protocol.

Ke konfiguraci samostatného senzoru pro naslouchání událostem QRadar použijte následující syntaxi zprávy:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

V této syntaxi musíte zahrnout následující pole:

  • Typ agenta pro kolekci
  • Název zprostředkovatele protokolu událostí Systému Windows
  • Zdroj protokolu událostí Windows
  • Plně kvalifikovaný název domény řadiče domény
  • ID události Windows
  • TimeGenerated, což je časové razítko skutečné události. Ujistěte se, že hodnota není časovým razítkem přijetí do SIEM nebo když je odeslána do Defenderu pro identitu. Formát časového razítka musí být The format should match yyyyMMddHHmmss.FFFFFFa musí mít přesnost milisekund.

Ujistěte se, že zpráva obsahuje původní text události z události Systému Windows a že máte \t mezi páry key=value.

Poznámka:

Použití WinCollect pro kolekci událostí Systému Windows se nepodporuje.

Další informace naleznete v tématu: