Поделиться через

Прослушивание событий SIEM на автономном датчике Defender для удостоверений

  • Статья

В этой статье описывается необходимый синтаксис сообщений при настройке автономного датчика Defender для идентификации для прослушивания поддерживаемых типов событий SIEM. Прослушивание событий SIEM — это один из способов повышения возможностей обнаружения с дополнительными событиями Windows, недоступными из сети контроллера домена.

Дополнительные сведения см. в обзоре сбора событий Windows.

Важно!

Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.

Аналитика безопасности RSA

Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

В этом синтаксисе:

  • Заголовок системного журнала необязателен.

  • Разделитель \n символов требуется между всеми полями.

  • Поля в порядке:

    1. (обязательно) Константа RsaSA
    2. Метка времени фактического события. Убедитесь, что это не метка времени прибытия в SIEM или когда она отправляется в Defender для идентификации. Мы настоятельно рекомендуем использовать точность миллисекунд.
    3. Идентификатор события Windows
    4. Имя поставщика событий Windows
    5. Имя журнала событий Windows
    6. Имя компьютера, получающего событие, например контроллер домена
    7. Имя пользователя, проверяющего подлинность
    8. Имя исходного узла
    9. Код результата NTLM

Важно!

Порядок полей важен, и ничего другого не должно быть включено в сообщение.

MicroFocus ArcSight

Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

В этом синтаксисе:

  • Сообщение должно соответствовать определению протокола.

  • Заголовок системного журнала не включен.

  • Часть заголовка, разделенная каналом (|) должна быть включена, как указано в протоколе.

  • Следующие ключи в части расширения должны присутствовать в событии:

    Ключ. Description
    externalId Идентификатор события Windows
    Rt Метка времени фактического события. Убедитесь, что значение не является меткой времени прибытия в SIEM или при отправке в Defender для удостоверений. Также обязательно используйте точность миллисекунда.
    cat Имя журнала событий Windows
    shost Имя исходного узла
    dhost Компьютер, получая событие, например контроллер домена
    duser Проверка подлинности пользователя

    Порядок не важен для части расширения .

  • Для следующих полей необходимо иметь пользовательский ключ и ключ .

    • EventSource
    • Reason or Error Code = код результата NTLM

Splunk

Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

В этом синтаксисе:

  • Заголовок системного журнала необязателен.

  • \r\n Существует разделитель символов между всеми обязательными полями. CRLF Это символы управления (0D0Aв шестнадцатеричном формате), а не литеральные символы.

  • Поля находятся в key=value формате.

  • Следующие ключи должны существовать и иметь значение:

    Имя Описание
    Код события Идентификатор события Windows
    Logfile Имя журнала событий Windows
    SourceName Имя поставщика событий Windows
    TimeGenerated Метка времени фактического события. Убедитесь, что значение не является меткой времени прибытия в SIEM или при отправке в Defender для удостоверений. Формат метки времени должен быть The format should match yyyyMMddHHmmss.FFFFFF, и необходимо использовать точность миллисекунд.
    ИмяКомпьютера Имя исходного узла
    Сообщение Исходный текст события из события Windows

  • Ключ сообщения и значение должны быть последним.

  • Порядок не важен для пар key=value.

Появится сообщение, аналогичное следующему:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar включает сбор событий через агент. Если данные собираются с помощью агента, формат времени собирается без миллисекунда данных.

Так как Defender для удостоверений требует миллисекунда данных, необходимо сначала настроить QRadar для использования коллекции событий Windows без агента. Дополнительные сведения см. в разделе QRadar: сбор событий Windows без агента с помощью протокола MSRPC.

Используйте следующий синтаксис сообщения, чтобы настроить автономный датчик для прослушивания событий QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

В этом синтаксисе необходимо включить следующие поля:

  • Тип агента для коллекции
  • Имя поставщика журнала событий Windows
  • Источник журнала событий Windows
  • Полное доменное имя контроллера домена
  • Идентификатор события Windows
  • TimeGenerated— метка времени фактического события. Убедитесь, что значение не является меткой времени прибытия в SIEM или при отправке в Defender для удостоверений. Формат метки времени должен иметь The format should match yyyyMMddHHmmss.FFFFFFточность миллисекунд.

Убедитесь, что сообщение содержит исходный текст события из события Windows и между \t парами key=value.

Примечание.

Использование WinCollect для коллекции событий Windows не поддерживается.

Связанный контент

Дополнительные сведения см. в разделе: