Informazioni di riferimento sul log SIEM di ATA
Si applica a: Advanced Threat Analytics versione 1.9
ATA può inoltrare gli eventi di avviso di sicurezza e integrità al sistema SIEM. Gli avvisi vengono inoltrati nel formato CEF. Di seguito è riportato un esempio di ogni tipo di log degli avvisi di sicurezza da inviare al sistema SIEM.
Esempi di avvisi di sicurezza ATA in formato CEF
I campi seguenti e i relativi valori vengono inoltrati al siem:
- start: ora di avvio dell'avviso
- suser : account (in genere account utente), coinvolto nell'avviso
- shost: computer di origine dell'avviso
- risultato: avvisi con esito positivo o negativo dell'attività definiti eseguiti nell'avviso
- msg - Descrizione avviso
- cnt: gli avvisi con un conteggio del numero di volte in cui si è verificato l'avviso (ad esempio, la forza bruta ha una quantità di password indovinate)
- app : protocollo di avviso
- externalId: l'ID evento ATA scrive nel registro eventi che corrisponde all'avviso*
- cs#label & cs# - Stringhe del cliente che CEF consente di usare cs#label è il nome del nuovo campo e cs# è il valore, ad esempio cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5909ae198ca1ec04d05e65fa
In questo esempio cs1 è un campo con un URL per l'avviso.
*Se si creano script o automazione in base ai log, usare l'EXTERNALID permanente di ogni log al posto dei nomi di log, perché i nomi dei log sono soggetti a modifiche senza preavviso.
| Nomi degli avvisi | ID evento di avviso |
|---|---|
| 2001 | Sospetto di furto di identità basato su comportamenti anomali |
| 2002 | Implementazione insolita del protocollo |
| 2003 | Perlustrazione con enumerazione degli account |
| 2004 | Attacco di forza bruta tramite binding semplice LDAP |
| 2006 | Replica dannosa di Servizi directory |
| 2007 | Perlustrazione con DNS |
| 2008 | Attività di downgrade della crittografia |
| 2009 | Attività di downgrade della crittografia (potenziale golden ticket) |
| 2010 | Attività di downgrade della crittografia (potenziale overpass-the-hash) |
| 2011 | Attività di downgrade della crittografia (potenziale scheletro di chiave) |
| 2012 | Ricognizione tramite enumerazione di sessione SMB |
| 2013 | Escalation dei privilegi tramite dati di autorizzazione contraffatti |
| 2014 | Attività di honeytoken |
| 2016 | Eliminazione di oggetti di grandi dimensioni |
| 2017 | Furto di identità con attacco Pass-the-Hash |
| 2018 | Furto di identità tramite l'attacco Pass-the-Ticket |
| 2019 | È stato rilevato un tentativo di esecuzione remota |
| 2020 | Richiesta di informazioni private sulla protezione dei dati dannosa |
| 2021 | Ricognizione tramite query di Servizi directory |
| 2022 | Attività Golden Ticket Kerberos |
| 2023 | Errori di autenticazione sospetti |
| 2024 | Modifica anomala dei gruppi sensibili |
| 2026 | Creazione di servizio sospetto |
Esempi di log
Priorità: 3=Basso 5=Medio 10=Alto
Modifica anomala dei gruppi sensibili
1 2018-12-12T16:53:22.925757+00:00 CENTER ATA 4688 AnomaloSensitiveGroupMembership CEF:0|Microsoft |ATA|1.9.0.0|AnomaloSensitiveGroupMembershipChangeSuspiciousActivity|Modifica anomala dei gruppi sensibili|5|start=2018-12-12T18:52:58.00000000Z app=GroupMembershipChangeEvent suser=krbtgt msg=krbtgt ha appartenenze a gruppi sensibili modificate in modo imprevisto. externalId=2024 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113d028ca1ec1250ca0491
Attacco di forza bruta tramite binding semplice LDAP
12-12-2018 19:52:18 Auth.Warning 192.168.0.222 1 2018-12-12T17:52:18.899690+00:00 CENTER ATA 4688 LdapBruteForceSuspiciousActivity ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|LdapBruteForceSuspiciousActivity |L'attacco di forza bruta con binding semplice LDAP|5|start=2018-12-12T17:52:10.2350665Z app=Ldap msg=10000 tentativi di individuazione password sono stati effettuati su 100 account da W2012R2-000000-Server. Una password dell'account è stata individuata correttamente. externalId=2004 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114acb8ca1ec1250cacdcb
Attività di downgrade della crittografia (Golden Ticket)
12-12-2018 20:12:35 Auth.Warning 192.168.0.222 1 2018-12-12T18:12:35.105942+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|L'attività di downgrade della crittografia|5|start=2018-12-12T18:10:35.0334169Z app=Kerberos msg=Il metodo di crittografia del campo TGT del messaggio di TGS_REQ da W2012R2-000000-Server è stato downgrade in base al comportamento appreso in precedenza. Questo può essere il risultato di un Golden Ticket in uso in W2012R2-000000-Server. externalId=2009 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114f938ca1ec1250cafcfa
Attività di downgrade della crittografia (overpass-the-hash)
12-12-2018 19:00:31 Auth.Warning 192.168.0.222 1 2018-12-12T17:00:31.963485+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|L'attività di downgrade della crittografia|5|start=2018-12-12T17:00:31.2975188Z app=Kerberos msg=The encryption method of the Encrypted_Timestamp field of AS_REQ message from W2012R2-000000-Server has been downgraded based on learned behavior in precedenza. Può trattarsi di un furto di credenziali tramite Overpass-the-Hash da W2012R2-000000-Server. externalId=2010 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113eaf8ca1ec1250ca0883
Attività di downgrade della crittografia (Skeleton Key)
12-12-2018 20:07:24 Auth.Warning 192.168.0.222 1 2018-12-12T18:07:24.065140+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|L'attività di downgrade della crittografia|5|start=2018-12-12T18:07:24.0222746Z app=Kerberos msg=The encryption method of the ETYPE_INFO2 field of KRB_ERR message from W2012R2-000000-Server è stato downgraded in base al comportamento appreso in precedenza. Questo può essere il risultato di una skeleton key in DC1. externalId=2011 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e5c8ca1ec1250cafafe
Attività di honeytoken
12-12-2018 19:51:52 Auth.Warning 192.168.0.222 1 2018-12-12T17:51:52.659618+00:00 CENTER ATA 4688 HoneytokenActivitySuspiciousActi ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|HoneytokenActivitySuspiciousActivity |Attività honeytoken|5|start=2018-12-12T17:51:52.5855994Z app=Kerberos suser=USR78982 msg=Le attività seguenti sono state eseguite da USR78982 LAST78982:\r\nAuthenticated da CLIENT1 usando NTLM durante l'accesso a domain1.test.local\cifs in DC1. externalId=2014 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114ab88ca1ec1250ca7f76
Furto di identità con attacco Pass-the-Hash
12-12-2018 19:56:02 Auth.Error 192.168.0.222 1 2018-12-12T17:56:02.047236+00:00 CENTER ATA 4688 PassTheHashSuspiciousActivity ̄ ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|PassTheHashSuspiciousActivity |Furto di identità tramite l'attacco Pass-the-Hash|10|start=2018-12-12T17:54:01.9582400Z app=Ntlm suser=USR46829 LAST46829 msg=USR46829 LAST46829'hash è stato rubato da uno dei computer precedentemente connessi da USR46829 LAST46829 e usato da W2012R2-00000-Server. externalId=2017 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114bb28ca1ec1250caf673
Furto di identità tramite l'attacco Pass-the-Ticket
12-12-2018 22:03:51 Auth.Error 192.168.0.222 1 2018-12-122T20:03:51.643633+00:00 CENTER ATA 4688 PassTheTicketSuspiciousActivity ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|PassTheTicketSuspiciousActivity|Furto di identità con attacco Pass-the-Ticket|10|start=2018-12-12T17:54:12.9960662Z app=Kerberos suser=Birdie Lamb msg=I ticket Kerberos di Birdie Lamb (Software Engineer) sono stati rubati da W2012R2-000106-Server a W2012R2-000051-Server e usati per accedere a domain1.test.local\host. externalId=2018 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b458ca1ec1250caf5b7
Attività Golden Ticket Kerberos
12-12-2018 19:53:26 Auth.Error 192.168.0.222 1 2018-12-122T17:53:26.869091+00:00 CENTER ATA 4688 GoldenTicketSuspiciousActivity ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|GoldenTicketSuspiciousActivity |Attività Golden Ticket Kerberos|10|start=2018-12-13T06:51:26.7290524Z app=Kerberos suser=Sonja Chadsey msg=Sospetto utilizzo di Sonja Chadsey (Software Engineer), che indica un potenziale attacco Golden Ticket, è stato rilevato. externalId=2022 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b168ca1ec1250caf556
Richiesta di informazioni private sulla protezione dei dati dannosa
12-12-2018 20:03:49 Auth.Error 192.168.0.222 1 2018-12-122T18:03:49.814620+00:00 CENTER ATA 4688 RetrieveDataProtectionBackupKeyS ̄ ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|RetrieveDataProtectionBackupKeySuspiciousActivity|Richiesta di informazioni private sulla protezione dei dati dannosa|10|start=2018-12-12T17:58:56.3537533Z app=LsaRpc shost=W2012R2-000000-Server msg=Un utente sconosciuto ha eseguito 1 tentativo riuscito da W2012R2-000000-Server per recuperare la chiave di backup del dominio DPAPI da DC1. externalId=2020 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114d858ca1ec1250caf983
Replica dannosa di Servizi directory
12-12-2018 19:56:49 Auth.Error 192.168.0.222 1 2018-12-12T17:56:49.312648+00:00 CENTER ATA 4688 DirectoryServicesReplicationSusp ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|DirectoryServicesReplicationSuspiciousActivity |Replica dannosa di Servizi directory|10|start=2018-12-12T17:52:34.3287329Z app=Drsr shost=W2012R2-000000-Server msg=Richieste di replica dannose sono state eseguite correttamente da W2012R2-000000-Server in DC1. outcome=Success externalId=2006 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114be18ca1ec1250caf6b8
Escalation dei privilegi tramite dati di autorizzazione contraffatti
12-12-2018 19:51:15 Auth.Error 192.168.0.222 1 2018-12-122T17:51:15.658608+00:00 CENTER ATA 4688 ForgedPacSuspiciousActivity ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|ForgedPacSuspiciousActivity |Escalation dei privilegi usando dati di autorizzazione contraffatti|10|start=2018-12-12T17:51:15.0261128Z app=Kerberos suser=triservice msg=triservice ha tentato di inoltrare i privilegi a DC1 da W2012R2-000000-Server usando dati di autorizzazione contraffatti. externalId=2013 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a938ca1ec1250ca7f48
Ricognizione tramite query di Servizi directory
12-12-2018 20:23:52 Auth.Warning 192.168.0.222 1 2018-12-12T1 8:23:52.155531+00:00 CENTER ATA 4688 SamrReconnaissanceSuspiciousActi ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|SamrReconnaissanceSuspiciousActivity |Esplorazione tramite query di Servizi directory|5|start=2018-12-12T18:04:12.9868815Z app=Samr shost=W2012R2-0000 Msg-Server00=Le query dei servizi directory seguenti che usano il protocollo SAMR sono state tentate su DC1 da W2012R2-0000000-Server:\r\nSuccessful query su Generatori di trust foresta in ingresso (i membri di questo gruppo possono creare in ingresso, trust unidirezionale per questa foresta) in domain1.test.local externalId=2021 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e758ca1ec1250cafb2e
Perlustrazione con enumerazione degli account
1 2018-12-12T16:57:09.661680+00:00 CENTER ATA 4688 AccountEnumerationSuspiciousActi CEF:0|Microsoft |ATA|1.9.0.0|AccountEnumerationSuspiciousActivity |È stata rilevata la ricognizione tramite l'enumerazione account|5|start=2018-12-12T16:57:09.1706828Z app=Kerberos shost=W2012R2-000000-Server msg=Attività di enumerazione account sospetta tramite il protocollo Kerberos, proveniente da W2012R2-00000-Server. L'utente malintenzionato ha eseguito un totale di 100 tentativi di ipotesi per i nomi degli account, 1 tentativo di indovinare i nomi di account esistenti in Active Directory. externalId=2003 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113de58ca1ec1250ca06d8
Perlustrazione con DNS
1 2018-12-12T16:57:20.743634+00:00 CENTER ATA 4688 DnsReconnaissanceSuspiciousActiv CEF:0|Microsoft |ATA|1.9.0.0|DnsReconnaissanceSuspiciousActivity |La ricognizione tramite DNS|5|start=2018-12-12T16:57:20.2556472Z app=Dns shost=W2012R2-000000-Server msg=Attività DNS sospetta è stata osservata, originata da W2012R2-000000-Server (che non è un server DNS) rispetto a DC1. externalId=2007 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113df08ca1ec1250ca074c
Ricognizione tramite enumerazione di sessione SMB
12-12-2018 19:50:51 Auth.Warning 192.168.0.222 1 2018-12-12T17:50:51.090247+00:00 CENTER ATA 4688 EnumerateSessionsSuspiciousActiv ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|EnumerateSessionsSuspiciousActivity|Esplorazione tramite enumerazione di sessione SMB|5|start=2018-12-12T17:00:42.7234229Z app=SrvSvc shost=W2012R2-000000-Server msg=SMB tentativi di enumerazione della sessione SMB non riusciti da W2012R2-000000-Server rispetto a DC1. Nessun account è stato esposto. externalId=2012 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a788ca1ec1250ca7735
È stato rilevato un tentativo di esecuzione remota
12-12-2018 19:58:45 Auth.Warning 192.168.0.222 1 2018-12-12T17:58:45.082799+00:00 CENTER ATA 4688 RemoteExecutionSuspiciousActivit ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|RemoteExecutionSuspiciousActivity |Tentativo di esecuzione remota rilevato|5|start=2018-12-12T17:54:23.9523766Z shost=W2012R2-000000-Server msg=I tentativi di esecuzione remota seguenti sono stati eseguiti su DC1 da W2012R2-000000-Server:\r\nFailed pianificazione remota di una o più attività. externalId=2019 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114c548ca1ec1250caf783
Implementazione insolita del protocollo
1 2018-12-12T16:50:46.930234+00:00 CENTER ATA 4688 AnomaloProtocolSuspiciousActivi CEF:0|Microsoft |ATA|1.9.0.0|AnomaloProtocolSuspiciousActivity|Implementazione insolita del protocollo|5|start=2018-12-12T16:48:46.6480337Z app=Ntlm shost=W2012R2-000000-Server outcome=Success msg=triservice correttamente autenticato da W2012R2-000000-Server in DC1 usando un'implementazione insolita del protocollo. Questo può essere il risultato di strumenti dannosi usati per eseguire attacchi come Pass-the-Hash e forza bruta. externalId=2002 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c668ca1ec1250ca0397
Sospetto di furto di identità basato su comportamenti anomali
1 2018-12-12T16:50:35.746877+00:00 CENTER ATA 4688 AnomaloBehaviorSuspiciousActivi CEF:0|Microsoft |ATA|1.9.0.0|AnomaloBehaviorSuspiciousActivity|Sospetto di furto di identità in base a comportamenti anomali|5|start=2018-12-12T16:48:35.5501183Z app=Kerberos suser=USR45964 msg=USR45964 LAST45964 ha mostrato un comportamento anomalo durante l'esecuzione di attività che non sono state rilevate nell'ultimo mese e non sono conformi alle attività di altri account dell'organizzazione. Il comportamento anomalo si basa sulle attività seguenti:\r\nAutente interattivo con prestazioni da 30 workstation anomale.\r\nRequested accesso a 30 risorse anomale. externalId=2001 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c5b8ca1ec1250ca0355
Errori di autenticazione sospetti
12-12-2018 19:50:34 Auth.Warning 192.168.0.222 1 2018-12-122T17:04:25.214067+00:00 CENTER ATA 4688 BruteForceSuspiciousActivity ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|BruteForceSuspiciousActivity |Errori di autenticazione sospetti|5|start=2018-12-12T17:03:58.5892462Z app=Kerberos shost=W2012R2-000106-Server msg=Errori di autenticazione sospetti che indicano un potenziale attacco di forza bruta sono stati rilevati da W2012R2-000106-Server. externalId=2023 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113f988ca1ec1250ca5810
Creazione di servizio sospetto
12-12-2018 19:53:49 Auth.Warning 192.168.0.222 1 2018-12-122T17:53:49.913034+00:00 CENTER ATA 4688 MaliciousServiceCreationSuspicio ̄ ̈CEF:0|Microsoft |ATA|1.9.0.0|MaliciousServiceCreationSuspiciousActivity |Creazione di servizi sospetti|5|start=2018-12-12T19:53:49.0000000Z app=ServiceInstalledEvent shost=W2012R2-000000-Server msg=triservice creato FakeService per eseguire comandi potenzialmente dannosi in W2012R2-000000-Server. externalId=2026 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b2d8ca1ec1250caf577
Avvisi di integrità
GatewayDisconnectedMonitoringAlert
1 2018-12-12T16:52:41.520759+00:00 CENTER ATA 4688 GatewayDisconnectedMonitoringAle CEF:0|Microsoft |ATA|1.9.0.0|GatewayDisconnectedMonitoringAlert|GatewayDisconnectedMonitoringAlert|5|externalId=1011 cs1Label=url cs1=https://192.168.0.220/monitoring msg=There has not been communication from the Gateway CENTER for 5 minutes. Ultima comunicazione: 12/12/2018 4:47:03 UTC.
GatewayStartFailureMonitoringAlert
1 2018-12-12T15:36:59.701097+00:00 CENTER ATA 1372 GatewayStartFailureMonitoringAle CEF:0|Microsoft |ATA|1.9.0.0|GatewayStartFailureMonitoringAlert|GatewayStartFailureMonitoringAlert|5|externalId=1018 cs1Label=url cs1=https://192.168.0.220/monitoring msg=The Gateway service on DC1 failed to start. È stato visto l'ultima volta in esecuzione il 12/12/2018 3:04:12 UTC.
Nota
Tutti gli avvisi di integrità vengono inviati con lo stesso modello riportato in precedenza.