Ascoltare gli eventi SIEM nel sensore autonomo defender per identità

Questo articolo descrive la sintassi del messaggio necessaria durante la configurazione di un sensore autonomo defender per identità per l'ascolto dei tipi di eventi SIEM supportati. L'ascolto degli eventi SIEM è un metodo per migliorare le capacità di rilevamento con eventi Di Windows aggiuntivi che non sono disponibili dalla rete del controller di dominio.

Per altre informazioni, vedere Panoramica della raccolta di eventi di Windows.

Importante

I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.

Analisi della sicurezza RSA

Usare la sintassi dei messaggi seguente per configurare il sensore autonomo per l'ascolto degli eventi di ANALISI della sicurezza RSA:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

In questa sintassi:

  • L'intestazione syslog è facoltativa.

  • Il \n separatore di caratteri è obbligatorio tra tutti i campi.

  • I campi, in ordine, sono:

    1. (Obbligatorio) Costante RsaSA
    2. Timestamp dell'evento effettivo. Assicurarsi che non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. È consigliabile usare un'accuratezza di millisecondi.
    3. ID evento di Windows
    4. Nome del provider di eventi di Windows
    5. Nome del registro eventi di Windows
    6. Nome del computer che riceve l'evento, ad esempio il controller di dominio
    7. Nome dell'utente che esegue l'autenticazione
    8. Nome del nome host di origine
    9. Codice di risultato di NTLM

Importante

L'ordine dei campi è importante e non è necessario includere altro nel messaggio.

MicroFocus ArcSight

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi di MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

In questa sintassi:

  • Il messaggio deve essere conforme alla definizione del protocollo.

  • Non è inclusa alcuna intestazione syslog.

  • La parte dell'intestazione, separata da una pipe (|) deve essere inclusa, come indicato nel protocollo

  • Nell'evento devono essere presenti le chiavi seguenti nella parte Estensione :

    Chiave Descrizione
    externalId ID evento di Windows
    Rt Timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. Assicurarsi inoltre di usare un'accuratezza di millisecondi.
    cat Nome del registro eventi di Windows
    shost Nome host di origine
    dhost Computer che riceve l'evento, ad esempio il controller di dominio
    duser Autenticazione dell'utente

    L'ordine non è importante per la parte Estensione .

  • È necessario avere una chiave personalizzata e keyLable per i campi seguenti:

    • EventSource
    • Reason or Error Code = Codice di risultato di NTLM

Splunk

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

In questa sintassi:

  • L'intestazione syslog è facoltativa.

  • Esiste un \r\n separatore di caratteri tra tutti i campi obbligatori. Si tratta di CRLF caratteri di controllo, (0D0A in esadecimale) e non di caratteri letterali.

  • I campi sono in key=value formato .

  • Le chiavi seguenti devono esistere e avere un valore:

    Nome Descrizione
    EventCode ID evento di Windows
    Logfile Nome del registro eventi di Windows
    SourceName Nome del provider di eventi di Windows
    TimeGenerated Timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. Il formato timestamp deve essere The format should match yyyyMMddHHmmss.FFFFFFe è necessario usare un'accuratezza di millisecondi.
    NomeComputer Nome host di origine
    Messaggio Testo dell'evento originale dell'evento di Windows
  • Il valore e la chiave del messaggio devono essere ultimi.

  • L'ordine non è importante per le coppie key=value.

Viene visualizzato un messaggio simile al seguente:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar abilita la raccolta di eventi tramite un agente. Se i dati vengono raccolti usando un agente, il formato dell'ora viene raccolto senza dati in millisecondi.

Poiché Defender per identità richiede dati in millisecondi, è prima necessario configurare QRadar per l'uso della raccolta di eventi di Windows senza agente. Per altre informazioni, vedere QRadar: Raccolta di eventi di Windows senza agente tramite il protocollo MSRPC.

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

In questa sintassi è necessario includere i campi seguenti:

  • Tipo di agente per la raccolta
  • Nome del provider del registro eventi di Windows
  • Origine del registro eventi di Windows
  • Nome di dominio completo del controller di dominio
  • ID evento di Windows
  • TimeGenerated, ovvero il timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al siem o quando viene inviato a Defender per identità. Il formato timestamp deve essere The format should match yyyyMMddHHmmss.FFFFFFe deve avere un'accuratezza di millisecondi.

Assicurarsi che il messaggio includa il testo dell'evento originale dell'evento di Windows e che sia presente \t tra le coppie key=value.

Nota

L'uso di WinCollect per la raccolta di eventi di Windows non è supportato.

Per altre informazioni, vedi: