Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Installare ATA - Passaggio 6Install ATA - Step 6

Passaggio 6.Step 6. Configurare raccolta eventi e VPNConfigure event collection and VPN

Configurare la raccolta degli eventiConfigure Event Collection

Per migliorare le funzionalità di rilevamento, ATA necessita degli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Tali eventi possono essere letti automaticamente dal gateway ATA Lightweight o, nel caso in cui non sia distribuito, possono essere inoltrati al gateway ATA configurando il gateway ATA per l'ascolto degli eventi SIEM o da Configurazione dell'inoltro degli eventi di Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

Nota

Per ATA 1.8 e versioni successive, la configurazione della raccolta eventi non è più necessaria per i gateway ATA Lightweight.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. Il gateway ATA Lightweight può ora leggere gli eventi in locale, senza che sia necessario configurare l'inoltro eventi.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.

Oltre a raccogliere e ad analizzare il traffico di rete da e verso i controller di dominio, ATA può usare gli eventi di Windows per migliorare i rilevamenti.In addition to collecting and analyzing network traffic to and from the domain controllers, ATA can use Windows events to further enhance detections. Vengono usati l'evento 4776 per NTLM che migliora vari rilevamenti e gli eventi 4732, 4733, 4728, 4729, 4756 e 4757 per il miglioramento del rilevamento delle modifiche ai gruppi sensibili.It uses event 4776 for NTLM which enhances various detections and events 4732, 4733, 4728, 4729, 4756, and 4757 for enhancing detection of sensitive group modifications. È possibile riceverlo da SIEM o impostando l'inoltro degli eventi di Windows dal controller di dominio.This can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. Gli eventi raccolti forniscono ad ATA informazioni aggiuntive che non sono disponibili mediante il traffico di rete del controller di dominio.Events collected provide ATA with additional information that is not available via the domain controller network traffic.

SIEM/SyslogSIEM/Syslog

Perché ATA possa consumare dati da un server Syslog, è necessario eseguire le operazioni seguenti:For ATA to be able to consume data from a Syslog server, you need to do the following:

  • Configurare i server gateway ATA in modo da attendere e accettare gli eventi inoltrati dal server SIEM/Syslog.Configure your ATA Gateway servers to listen to and accept events forwarded from the SIEM/Syslog server. > [!NOTE] > ATA è in ascolto solo su IPv4 e non su IPv6.ATA only listens on IPv4 and not IPv6.
  • Configurare il server SIEM/Syslog in modo che inoltri eventi specifici al gateway ATA.Configure your SIEM/Syslog server to forward specific events to the ATA Gateway.
Importante
  • Non inoltrare tutti i dati del Syslog al gateway ATA.Do not forward all the Syslog data to the ATA Gateway.
  • ATA supporta il traffico UDP dal server SIEM/Syslog.ATA supports UDP traffic from the SIEM/Syslog server.

Vedere la documentazione del server SIEM/Syslog per informazioni su come configurare l'inoltro di eventi specifici a un altro server.Refer to your SIEM/Syslog server's product documentation for information on how to configure forwarding of specific events to another server.

Nota

Se non si usa un server SIEM/Syslog, è possibile configurare i controller di dominio di Windows in modo da inoltrare l'ID evento di Windows 4776 affinché sia raccolto e analizzato da ATA.If you do not use a SIEM/Syslog server, you can configure your Windows domain controllers to forward Windows Event ID 4776 to be collected and analyzed by ATA. L'ID evento di Windows 4776 fornisce dati sulle autenticazioni NTLM.Windows Event ID 4776 provides data regarding NTLM authentications.

Configurazione del gateway ATA per l'ascolto degli eventi SIEMConfiguring the ATA Gateway to listen for SIEM events

  1. Nella configurazione di ATA in Origini dati fare clic su SIEM, attivare Syslog e fare clic su Salva.In ATA Configuration, under Data sources click SIEM and turn on Syslog and click Save.

    Attivare l'immagine dell'UDP del listener Syslog

  2. Configurare il server SIEM o Syslog per l'inoltro dell'ID evento 4776 di Windows all'indirizzo IP di uno dei gateway ATA.Configure your SIEM or Syslog server to forward Windows Event ID 4776 to the IP address of one of the ATA Gateways. Per altre informazioni sulla configurazione del SIEM, vedere le informazioni di guida online o rivolgersi all'assistenza tecnica di SIEM per i requisiti di formattazione specifici per ciascun server SIEM.For additional information on configuring your SIEM, refer to your SIEM online help or technical support options for specific formatting requirements for each SIEM server.

ATA supporta gli eventi SIEM nei formati seguenti:ATA supports SIEM events in the following formats:

Analisi di sicurezza RSARSA Security Analytics

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • L'intestazione Syslog è facoltativa.Syslog header is optional.

  • Il separatore di caratteri "\n" è obbligatorio fra i singoli campi.“\n” character separator is required between all fields.

  • I campi, in ordine, sono:The fields, in order, are:

    1. Costante RsaSA (deve apparire).RsaSA constant (must appear).

    2. Il timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o dell'invio ad ATA).The timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Preferibilmente con la precisione ai millisecondi, questo è molto importante.Preferably in milliseconds accuracy, this is very important.

    3. L'ID evento di WindowsThe Windows event ID

    4. Il nome del provider di eventi di WindowsThe Windows event provider name

    5. Il nome del registro eventi di WindowsThe Windows event log name

    6. Il nome del computer che riceve l'evento (il DC in questo caso)The name of the computer receiving the event (the DC in this case)

    7. Il nome dell'utente che si autenticaThe name of the user authenticating

    8. Il nome dell'host di origineThe name of the source host name

    9. Il codice del risultato di NTLMThe result code of the NTLM

  • L'ordine è importante e nel messaggio non deve essere incluso nient'altro.The order is important and nothing else should be included in the message.

HP ArcsightHP Arcsight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Il controller di dominio ha tentato di convalidare le credenziali per un account.|Basso| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Ragione o codice di erroreCEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • Deve essere conforme con la definizione del protocollo.Must comply with the protocol definition.

  • Nessuna intestazione Syslog.No syslog header.

  • La parte dell'intestazione (la parte che è separata da un pipe) deve esistere (come stabilito nel protocollo).The header part (the part that’s separated by a pipe) must exist (as stated in the protocol).

  • Le chiavi seguenti della parte dell'estensione devono essere presenti nell'evento:The following keys in the Extension part must be present in the event:

    • externalId = l'ID evento di WindowsexternalId = the Windows event ID

    • rt = il timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o dell'invio ricevuto).rt = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to us). Preferibilmente con la precisione ai millisecondi, questo è molto importante.Preferably in milliseconds accuracy, this is very important.

    • cat = il nome del registro eventi di Windowscat = the Windows event log name

    • shost = il nome dell'host di origineshost = the source host name

    • dhost = il computer che riceve l'evento (il DC in questo caso)dhost = the computer receiving the event (the DC in this case)

    • duser = il nome dell'utente che si autenticaduser = the user authenticating

  • L'ordine non è importante per la parte dell'estensioneThe order is not important for the Extension part

  • Deve essere presente una chiave personalizzata e una keyLable per questi due campi:There must be a custom key and keyLable for these two fields:

    • “EventSource”“EventSource”

    • “Ragione o codice di errore” = Il codice risultato di NTLM“Reason or Error Code” = The result code of the NTLM

SplunkSplunk

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Il computer ha tentato di convalidare le credenziali per un account.The computer attempted to validate the credentials for an account.

Pacchetto di autenticazione: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Account di accesso: amministratoreLogon Account: Administrator

Workstation di origine: SIEMSource Workstation: SIEM

Codice di errore: 0x0Error Code: 0x0

  • L'intestazione Syslog è facoltativa.Syslog header is optional.

  • C'è un separatore di caratteri "\r\n" fra i singoli campi richiesti.There’s a “\r\n” character separator between all required fields.

  • I campi sono nel formato chiave=valore.The fields are in key=value format.

  • Le seguenti chiavi devono esistere e avere un valore:The following keys must exists and have a value:

    • EventCode = l'ID evento di WindowsEventCode = the Windows event ID

    • Logfile = il nome del registro eventi di WindowsLogfile = the Windows event log name

    • SourceName = il nome del provider di eventi di WindowsSourceName = The Windows event provider name

    • TimeGenerated = Il timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o dell'invio ad ATA).TimeGenerated = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Il formato deve corrispondere ad aaaaMMggHHmmss.FFFFFF, preferibilmente con la precisione ai millisecondi, questo è molto importante.The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is very important.

    • ComputerName = il nome dell'host di origineComputerName = the source host name

    • Message = il testo dell'evento originale dall'evento di WindowsMessage = the original event text from the Windows event

  • La chiave e il valore del messaggio DEVONO essere ultimi.The Message Key and value MUST be last.

  • L'ordine non è importante per le coppie chiave=valore.The order is not important for the key=value pairs.

QRadarQRadar

QRadar consente la raccolta di eventi tramite un agente.QRadar enables event collection via an agent. Se i dati vengono raccolti tramite un agente, il formato ora viene raccolto senza dati in millisecondi.If the data is gathered using an agent, the time format is gathered without millisecond data. Dal momento che ATA richiede dati in millisecondi, è necessario impostare QRadar per usare la raccolta di eventi di Windows senza agente.Because ATA necessitates millisecond data, it is necessary to set QRadar to use agentless Windows event collection. Per altre informazioni, vedere http://www-01.ibm.com/support/docview.wss?uid=swg21700170 (QRadar: raccolta degli eventi di Windows senza agente tramite il protocollo MSRPC).For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21700170.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

I campi necessari sono:The fields needed are:

  • Il tipo di agente per la raccoltaThe agent type for the collection
  • Il nome del provider del registro eventi di WindowsThe Windows event log provider name
  • L'origine del registro eventi di WindowsThe Windows event log source
  • Il nome dominio completo del controller di dominioThe DC fully qualified domain name
  • L'ID evento di WindowsThe Windows event ID

TimeGenerated = Il timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o dell'invio ad ATA).TimeGenerated is the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Il formato deve corrispondere ad aaaaMMggHHmmss.FFFFFF, preferibilmente con la precisione ai millisecondi, questo è molto importante.The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is very important.

Message = il testo dell'evento originale dell'evento di WindowsMessage is the original event text from the Windows event

Assicurarsi che \t sia presente tra le coppie chiave=valore.Make sure to have \t between the key=value pairs.

Nota

L'uso della raccolta eventi WinCollect per Windows non è supportato.Using WinCollect for Windows event collection is not supported.

Configurazione della VPNConfiguring VPN

ATA raccoglie i dati della VPN che consentono la profilatura delle posizioni da cui i computer si connettono alla rete.ATA collects VPN data that helps in profiling the locations from which computers connect to the network.

Per configurare i dati della VPN, passare a Configurazione > VPN, e immettere Accounting Radius e Segreto condiviso della VPN.To configure VPN data, go to Configuration > VPN, and enter the Radius Account shared secret of your VPN.

Configurare la VPN

Per ottenere il segreto condiviso, vedere la documentazione della VPN.To get the shared secret, refer to your VPN Documentation. I fornitori di VPN supportati sono:The supported VPN vendors are:

  • MicrosoftMicrosoft
  • F5F5
  • Check PointCheck Point
  • Cisco ASACisco ASA

Vedere ancheSee Also