Überwachen von SIEM-Ereignissen auf Ihrem eigenständigen Defender for Identity-Sensor

Dieser Artikel beschreibt die Syntax der Pflichtnachricht, wenn Sie einen Defender for Identity-Einzelsensor so konfigurieren, dass er auf unterstützte SIEM-Ereignistypen hört. Das Abhören von SIEM-Ereignissen ist eine Methode, um Ihre Erkennungsfähigkeiten mit zusätzlichen Windows-Ereignissen zu verbessern, die nicht über das Netzwerk des Domänencontrollers verfügbar sind.

Weitere Informationen finden Sie in der Übersicht über die Windows-Ereignissammlung.

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.

RSA-Sicherheitsanalysen

Verwenden Sie die folgende Nachrichtensyntax, um Ihren eigenständigen Sensor so zu konfigurieren, dass er auf RSA Security Analytics-Ereignisse lauscht:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

In dieser Syntax:

  • Der Syslog-Header ist optional.

  • Das Zeichentrennzeichen \n ist zwischen allen Feldern erforderlich.

  • Die Felder sind, in der Reihenfolge, folgende:

    1. (Erforderlich) RsaSA-Konstante
    2. Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es nicht der Zeitstempel des Eingangs im SIEM ist oder wenn sie an Defender for Identity gesendet wird. Es wird dringend empfohlen, eine Genauigkeit von Millisekunden zu verwenden.
    3. Die Windows-Ereignis-ID
    4. Der Name des Windows-Ereignisanbieters
    5. Der Name des Windows-Ereignisprotokolls
    6. Der Name des Computers, der das Ereignis empfängt, z. B. der Domänencontroller
    7. Der Name des Benutzers, der authentifiziert wird
    8. Der Name des Quell-Hostnamens
    9. Der Ergebniscode der NTLM

Wichtig

Die Reihenfolge der Felder ist wichtig, und nichts anderes sollte in die Nachricht einbezogen werden.

MicroFocus ArcSight

Verwenden Sie die folgende Meldungssyntax, um ihren eigenständigen Sensor so zu konfigurieren, dass er auf MicroFocus ArcSight-Ereignisse lauscht:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

In dieser Syntax:

  • Ihre Nachricht muss der Protokolldefinition entsprechen.

  • Es ist kein Syslog-Header enthalten.

  • Der Kopfzeilenteil, getrennt durch ein Rohr (|) muss enthalten sein, wie im Protokoll angegeben

  • Die folgenden Schlüssel im Erweiterungsteil müssen im Ereignis vorhanden sein:

    Schlüssel Beschreibung
    externalId Die Windows-Ereignis-ID
    rt Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich bei dem Wert nicht um den Zeitstempel des Eingangs im SIEM handelt oder um den Zeitpunkt, zu dem die Daten zur Identifizierung an Defender gesendet wurden. Stellen Sie außerdem sicher, dass Sie eine Genauigkeit von Millisekunden verwenden.
    cat Der Name des Windows-Ereignisprotokolls
    shost Der Name des Quellhosts
    dhost Der Computer, der das Ereignis empfängt, z. B. der Domänencontroller
    duser Der Benutzer wird authentifiziert

    Die Bestellung ist für den Erweiterungsteil nicht wichtig.

  • Sie müssen über einen benutzerdefinierten Schlüssel und keyLable für die folgenden Felder verfügen:

    • EventSource
    • Reason or Error Code = Der Ergebniscode der NTLM

Splunk

Verwenden Sie die folgende Meldungssyntax, um ihren eigenständigen Sensor so zu konfigurieren, dass er auf Splunk-Ereignisse lauscht:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

In dieser Syntax:

  • Der Syslog-Header ist optional.

  • Es gibt ein \r\n Zeichentrennzeichen zwischen allen erforderlichen Feldern. Es handelt sich um CRLF-Steuerzeichen (0D0A in hex) und nicht um Buchstaben.

  • Die Felder sind im key=value Format.

  • Die folgenden Schlüssel müssen vorhanden sein und einen Wert aufweisen:

    Name Beschreibung
    EventCode Die Windows-Ereignis-ID
    Protokolldatei Der Name des Windows-Ereignisprotokolls
    SourceName Der Name des Windows-Ereignisanbieters
    TimeGenerated Der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich bei dem Wert nicht um den Zeitstempel des Eingangs im SIEM handelt oder um den Zeitpunkt, zu dem die Daten zur Identifizierung an Defender gesendet wurden. Das Zeitstempelformat muss The format should match yyyyMMddHHmmss.FFFFFF sein und Sie müssen eine Genauigkeit von Millisekunden verwenden.
    ComputerName Der Name des Quellhosts
    Meldung Der ursprüngliche Ereignistext aus dem Windows-Ereignis
  • Der Nachrichtenschlüssel und der Wert müssen zuletzt sein.

  • Die Reihenfolge ist für die Schlüssel-Wert-Paare nicht wichtig.

Eine der folgenden ähnelnde Meldung wird angezeigt:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar ermöglicht die Ereignissammlung über einen Agent. Wenn die Daten mithilfe eines Agents gesammelt werden, wird das Zeitformat ohne Millisekundendaten erfasst.

Da Defender for Identity Millisekundendaten benötigt, müssen Sie zuerst QRadar für die Verwendung der agentlosen Windows-Ereignissammlung konfigurieren. Weitere Informationen finden Sie unter QRadar: Agentless Windows Events Collection using the MSRPC Protocol.

Verwenden Sie die folgende Nachrichtensyntax, um ihren eigenständigen Sensor so zu konfigurieren, dass er auf QRadar-Ereignisse lauscht:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

In dieser Syntax müssen Sie die folgenden Felder einschließen:

  • Der Agententyp für die Sammlung
  • Der Name des Windows-Ereignisprotokollanbieters
  • Die Windows-Ereignisprotokollquelle
  • Der vollqualifizierte DNS-Domänenname
  • Die Windows-Ereignis-ID
  • TimeGenerated, also der Zeitstempel des tatsächlichen Ereignisses. Stellen Sie sicher, dass es sich bei dem Wert nicht um den Zeitstempel des Eingangs im SIEM handelt oder um den Zeitpunkt, zu dem die Daten zur Identifizierung an Defender gesendet wurden. Das Zeitstempelformat muss The format should match yyyyMMddHHmmss.FFFFFF sein und eine Genauigkeit von Millisekunden haben.

Stellen Sie sicher, dass die Nachricht den ursprünglichen Ereignistext aus dem Windows-Ereignis und zwischen \t den Schlüssel-Wert-Paaren enthält.

Hinweis

Die Verwendung von WinCollect für Windows-Ereignissammlung wird nicht unterstützt.

Weitere Informationen finden Sie unter: