Прослушивание событий SIEM на автономном датчике Defender для удостоверений
В этой статье описывается необходимый синтаксис сообщений при настройке автономного датчика Defender для идентификации для прослушивания поддерживаемых типов событий SIEM. Прослушивание событий SIEM — это один из способов повышения возможностей обнаружения с дополнительными событиями Windows, недоступными из сети контроллера домена.
Дополнительные сведения см. в обзоре сбора событий Windows.
Важно!
Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.
Аналитика безопасности RSA
Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий RSA Security Analytics:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
В этом синтаксисе:
Заголовок системного журнала необязателен.
Разделитель
\n
символов требуется между всеми полями.Поля в порядке:
- (обязательно) Константа RsaSA
- Метка времени фактического события. Убедитесь, что это не метка времени прибытия в SIEM или когда она отправляется в Defender для идентификации. Мы настоятельно рекомендуем использовать точность миллисекунд.
- Идентификатор события Windows
- Имя поставщика событий Windows
- Имя журнала событий Windows
- Имя компьютера, получающего событие, например контроллер домена
- Имя пользователя, проверяющего подлинность
- Имя исходного узла
- Код результата NTLM
Важно!
Порядок полей важен, и ничего другого не должно быть включено в сообщение.
MicroFocus ArcSight
Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий MicroFocus ArcSight:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
В этом синтаксисе:
Сообщение должно соответствовать определению протокола.
Заголовок системного журнала не включен.
Часть заголовка, разделенная каналом (|) должна быть включена, как указано в протоколе.
Следующие ключи в части расширения должны присутствовать в событии:
Ключ. Description externalId Идентификатор события Windows Rt Метка времени фактического события. Убедитесь, что значение не является меткой времени прибытия в SIEM или при отправке в Defender для удостоверений. Также обязательно используйте точность миллисекунда. cat Имя журнала событий Windows shost Имя исходного узла dhost Компьютер, получая событие, например контроллер домена duser Проверка подлинности пользователя Порядок не важен для части расширения .
Для следующих полей необходимо иметь пользовательский ключ и ключ .
EventSource
Reason or Error Code
= код результата NTLM
Splunk
Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий Splunk:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
В этом синтаксисе:
Заголовок системного журнала необязателен.
\r\n
Существует разделитель символов между всеми обязательными полями.CRLF
Это символы управления (0D0A
в шестнадцатеричном формате), а не литеральные символы.Поля находятся в
key=value
формате.Следующие ключи должны существовать и иметь значение:
Имя Описание Код события Идентификатор события Windows Logfile Имя журнала событий Windows SourceName Имя поставщика событий Windows TimeGenerated Метка времени фактического события. Убедитесь, что значение не является меткой времени прибытия в SIEM или при отправке в Defender для удостоверений. Формат метки времени должен быть The format should match yyyyMMddHHmmss.FFFFFF
, и необходимо использовать точность миллисекунд.ИмяКомпьютера Имя исходного узла Сообщение Исходный текст события из события Windows Ключ сообщения и значение должны быть последним.
Порядок не важен для пар key=value.
Появится сообщение, аналогичное следующему:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar включает сбор событий через агент. Если данные собираются с помощью агента, формат времени собирается без миллисекунда данных.
Так как Defender для удостоверений требует миллисекунда данных, необходимо сначала настроить QRadar для использования коллекции событий Windows без агента. Дополнительные сведения см. в разделе QRadar: сбор событий Windows без агента с помощью протокола MSRPC.
Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий QRadar:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
В этом синтаксисе необходимо включить следующие поля:
- Тип агента для коллекции
- Имя поставщика журнала событий Windows
- Источник журнала событий Windows
- Полное доменное имя контроллера домена
- Идентификатор события Windows
TimeGenerated
— метка времени фактического события. Убедитесь, что значение не является меткой времени прибытия в SIEM или при отправке в Defender для удостоверений. Формат метки времени должен иметьThe format should match yyyyMMddHHmmss.FFFFFF
точность миллисекунд.
Убедитесь, что сообщение содержит исходный текст события из события Windows и между \t
парами key=value.
Примечание.
Использование WinCollect для коллекции событий Windows не поддерживается.
Связанный контент
Дополнительные сведения см. в разделе: