Installieren von ATA – Schritt 6
Gilt für: Advanced Threat Analytics, Version 1.9
Schritt 6: Konfigurieren der Ereignissammlung
Konfigurieren der Ereignissammlung
Zur Verbesserung der Erkennungsfunktionen benötigt ATA die folgenden Windows-Ereignisse: 4776, 4732, 4733, 4728, 4729, 4756, 4757 und 7045. Diese Windows-Ereignisse werden entweder automatisch vom ATA Lightweight Gateway gelesen, oder wenn das ATA Lightweight Gateway nicht bereitgestellt wird, können sie auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, entweder durch Konfigurieren des ATA-Gateways zum Überwachen von SIEM-Ereignissen oder durch Konfigurieren der Windows-Ereignisweiterleitung.
Hinweis
Für ATA-Versionen 1.8 und höher ist die Konfiguration der Windows-Ereignissammlung für ATA Lightweight Gateways nicht mehr erforderlich. Das ATA Lightweight Gateway liest jetzt Ereignisse lokal, ohne die Ereignisweiterleitung konfigurieren zu müssen.
Neben der Erfassung und Analyse des Netzwerkdatenverkehrs zu und von den Aufgaben Standard controllern kann ATA Windows-Ereignisse verwenden, um Erkennungen weiter zu verbessern. Es verwendet Ereignis 4776 für NTLM, das verschiedene Erkennungen und Ereignisse 4732, 4733, 4728, 4729, 4756 und 4757 zur Verbesserung der Erkennung sensibler Gruppenänderungen verbessert. Dies kann von Ihrem SIEM empfangen werden, oder indem Sie die Windows-Ereignisweiterleitung von Ihrem Domänencontroller festlegen. Die erfassten Ereignisse bieten ATA zusätzliche Informationen, die über den Netzwerkdatenverkehr des Domänencontrollers nicht verfügbar sind.
SIEM/Syslog
Damit ATA Daten von einem Syslog-Server nutzen kann, müssen Sie die folgenden Schritte ausführen:
- Konfigurieren Sie Ihre ATA-Gatewayserver so, dass Ereignisse, die vom SIEM/Syslog-Server weitergeleitet werden, überwacht und akzeptiert werden.
Hinweis
ATA lauscht nur auf IPv4 und nicht auf IPv6.
- Konfigurieren Sie Ihren SIEM/Syslog-Server, um bestimmte Ereignisse an das ATA-Gateway weiterzuleiten.
Wichtig
- Leiten Sie nicht alle Syslog-Daten an das ATA-Gateway weiter.
- ATA unterstützt UDP-Datenverkehr vom SIEM/Syslog-Server.
Informationen zum Konfigurieren der Weiterleitung bestimmter Ereignisse an einen anderen Server finden Sie in der Produktdokumentation Ihres SIEM/Syslog-Servers.
Hinweis
Wenn Sie keinen SIEM/Syslog-Server verwenden, können Sie Ihre Windows-Do Standard-Controller so konfigurieren, dass die Windows-Ereignis-ID 4776 weitergeleitet wird, die von ATA erfasst und analysiert werden. Windows-Ereignis-ID 4776 stellt Daten zu NTLM-Authentifizierungen bereit.
Konfigurieren des ATA-Gateways zum Überwachen von SIEM-Ereignissen
Klicken Sie in der ATA-Konfiguration unter Datenquellen auf SIEM, aktivieren Sie Syslog und klicken Sie auf Speichern.
Konfigurieren Sie Ihren SIEM- oder Syslog-Server, um die Windows-Ereignis-ID 4776 an die IP-Adresse eines der ATA-Gateways weiterzuleiten. Weitere Informationen zum Konfigurieren Ihres SIEM finden Sie in ihrer SIEM-Onlinehilfe oder technischen Supportoptionen für bestimmte Formatierungsanforderungen für jeden SIEM-Server.
ATA unterstützt SIEM-Ereignisse in den folgenden Formaten:
RSA-Sicherheitsanalysen
<Syslog-Header>RsaSA\n2015-Mai-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDo Standard.do Standard.org.il\nYYYYY$\nMMMMM \n0x0
Der Syslog-Header ist optional.
Das "\n"-Trennzeichen ist zwischen allen Feldern erforderlich.
Die Felder sind, in der Reihenfolge, folgende:
- RsaSA-Konstante (muss angezeigt werden).
- Der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es nicht der Zeitstempel der Ankunft in der EM ist oder wenn es an ATA gesendet wird). Vorzugsweise in Millisekunden genauigkeit, ist dies wichtig.
- Die Windows-Ereignis-ID
- Der Name des Windows-Ereignisanbieters
- Der Windows-Ereignisprotokollname
- Der Name des Computers, der das Ereignis empfängt (in diesem Fall dc)
- Der Name des Benutzers, der authentifiziert wird
- Der Name des Quell-Hostnamens
- Der Ergebniscode der NTLM
Die Reihenfolge ist wichtig, und nichts anderes sollte in die Nachricht einbezogen werden.
MicroFocus ArcSight
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Der Do Standard-Controller hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen.|Niedrig| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDo Standard.do Standard.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
Muss der Protokolldefinition entsprechen.
Kein Syslog-Header.
Der Kopfzeilenteil (der durch eine Pipe getrennte Teil) muss vorhanden sein (wie im Protokoll angegeben).
Die folgenden Schlüssel im Erweiterungsteil müssen im Ereignis vorhanden sein:
- externalId = die Windows-Ereignis-ID
- rt = der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es nicht der Zeitstempel der Ankunft am SIEM ist oder wenn es an ATA gesendet wird). Vorzugsweise in Millisekunden genauigkeit, ist dies wichtig.
- cat = Name des Windows-Ereignisprotokolls
- shost = der Quellhostname
- dhost = der Computer, der das Ereignis empfängt (der DC in diesem Fall)
- duser = Der Benutzer wird authentifiziert.
Die Bestellung ist für den Erweiterungsteil nicht wichtig.
Für diese beiden Felder muss ein benutzerdefinierter Schlüssel und keyLable vorhanden sein:
- „EventSource“
- "Reason or Error Code" = Der Ergebniscode des NTLM
Splunk
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: Administrator
Quellarbeitsstation: SIEM
Fehlercode: 0x0
Der Syslog-Header ist optional.
Es gibt ein "\r\n"-Trennzeichen zwischen allen erforderlichen Feldern. Bedenken Sie, dass es sich um -Steuerzeichen ( in hex) und nicht um Buchstaben handelt.
Die Felder befinden sich im Format key=value.
Die folgenden Schlüssel müssen vorhanden sein und einen Wert aufweisen:
- EventCode = die Windows-Ereignis-ID
- Logfile = Windows-Ereignisprotokoll-Name
- SourceName = Der Name des Windows-Ereignisanbieters
- TimeGenerated = der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es nicht der Zeitstempel der Ankunft am SIEM ist oder wenn es an ATA gesendet wird). Das Format sollte mit yyyyMMdHHHmmss.FFFFFF übereinstimmen, vorzugsweise auf die Millisekunde genau, dies ist wichtig.
- ComputerName = der Quellhostname
- Message = der ursprüngliche Ereignistext aus dem Windows-Ereignis
Der Nachrichtenschlüssel und der Wert MÜSSEN zuletzt kommen.
Die Reihenfolge ist für die key=value-Paare nicht wichtig.
QRadar
QRadar ermöglicht die Ereignissammlung über einen Agent. Wenn die Daten mithilfe eines Agents gesammelt werden, wird das Zeitformat ohne Millisekundendaten erfasst. Da ATA Millisekundendaten benötigt, ist es erforderlich, QRadar so festzulegen, dass eine agentlose Windows-Ereignissammlung verwendet wird. Weitere Informationen finden Sie unter QRadar: Agentlose Windows-Ereignissammlung mithilfe des MSRPC-Protokolls.
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
Die erforderlichen Felder sind:
Der Agententyp für die Sammlung
Der Name des Windows-Ereignisprotokollanbieters
Die Windows-Ereignisprotokollquelle
Der vollqualifizierte DC-Domänenname.
Die Windows-Ereignis-ID
TimeGenerated ist der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es sich nicht um den Zeitstempel der Ankunft am SIEM handelt oder wenn es an ATA gesendet wird). Das Format sollte mit yyyyMMdHHHmmss.FFFFFF übereinstimmen, vorzugsweise auf die Millisekunde genau, dies ist wichtig.
Message ist der ursprüngliche Ereignistext des Windows-Ereignisses
Stellen Sie sicher, dass \t zwischen den Schlüssel-Wert-Paaren vorhanden ist.
Hinweis
Die Verwendung von WinCollect für Windows-Ereignissammlung wird nicht unterstützt.