Installare ATA - Passaggio 6
Si applica a: Advanced Threat Analytics versione 1.9
Passaggio 6: Configurare la raccolta di eventi
Configurare la raccolta eventi
Per migliorare le funzionalità di rilevamento, ATA richiede gli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757 e 7045. Questi eventi di Windows vengono letti automaticamente dal gateway ATA Lightweight o nel caso in cui il gateway ATA Lightweight non venga distribuito, possono essere inoltrati al gateway ATA in uno dei due modi, configurando il gateway ATA per l'ascolto degli eventi SIEM o configurando l'inoltro di eventi di Windows.
Nota
Per ATA versioni 1.8 e successive, la configurazione della raccolta di eventi di Windows non è più necessaria per i gateway ATA Lightweight. Il gateway ATA Lightweight ora legge gli eventi in locale, senza la necessità di configurare l'inoltro degli eventi.
Oltre a raccogliere e analizzare il traffico di rete da e verso i controller di dominio, ATA può usare gli eventi di Windows per migliorare ulteriormente i rilevamenti. Usa l'evento 4776 per NTLM, che migliora vari rilevamenti ed eventi 4732, 4733, 4728, 4729, 4756 e 4757 per migliorare il rilevamento delle modifiche ai gruppi sensibili. Questa operazione può essere ricevuta dal sistema SIEM o impostando l'inoltro eventi di Windows dal controller di dominio. Gli eventi raccolti forniscono ad ATA informazioni aggiuntive non disponibili tramite il traffico di rete del controller di dominio.
SIEM/Syslog
Affinché ATA sia in grado di utilizzare i dati da un server Syslog, è necessario eseguire la procedura seguente:
- Configurare i server gateway ATA per l'ascolto e l'accettazione di eventi inoltrati dal server SIEM/Syslog.
Nota
ATA è in ascolto solo su IPv4 e non su IPv6.
- Configurare il server SIEM/Syslog per inoltrare eventi specifici al gateway ATA.
Importante
- Non inoltrare tutti i dati Syslog al gateway ATA.
- ATA supporta il traffico UDP dal server SIEM/Syslog.
Fare riferimento alla documentazione del prodotto del server SIEM/Syslog per informazioni su come configurare l'inoltro di eventi specifici a un altro server.
Nota
Se non si usa un server SIEM/Syslog, è possibile configurare i controller di dominio Windows per inoltrare l'ID evento Windows 4776 da raccogliere e analizzare da ATA. L'ID evento di Windows 4776 fornisce dati relativi alle autenticazioni NTLM.
Configurazione del gateway ATA per l'ascolto degli eventi SIEM
In Configurazione ATA, in Origini dati fare clic su SIEM e attivare Syslog e fare clic su Salva.
Configurare il server SIEM o Syslog per inoltrare l'ID evento di Windows 4776 all'indirizzo IP di uno dei gateway ATA. Per altre informazioni sulla configurazione del siem, vedere la Guida online siem o le opzioni di supporto tecnico per requisiti di formattazione specifici per ogni server SIEM.
ATA supporta gli eventi SIEM nei formati seguenti:
Analisi della sicurezza RSA
<Intestazione>Syslog RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYY$\nMMMMM \n0x0
L'intestazione Syslog è facoltativa.
Il separatore di caratteri "\n" è obbligatorio tra tutti i campi.
I campi, in ordine, sono:
- Costante RsaSA (deve essere visualizzata).
- Timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo all'EM o quando viene inviato ad ATA). Preferibilmente in millisecondi di accuratezza, questo è importante.
- ID evento di Windows
- Nome del provider di eventi di Windows
- Nome del registro eventi di Windows
- Nome del computer che riceve l'evento (in questo caso il controller di dominio)
- Nome dell'utente che esegue l'autenticazione
- Nome del nome host di origine
- Codice di risultato di NTLM
L'ordine è importante e nessun altro elemento deve essere incluso nel messaggio.
MicroFocus ArcSight
CEF:0 |Microsoft |Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Il controller di dominio ha tentato di convalidare le credenziali per un account.|Basso | externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason o Codice errore
Deve essere conforme alla definizione del protocollo.
Nessuna intestazione syslog.
La parte di intestazione (la parte separata da una pipe) deve esistere (come indicato nel protocollo).
Nell'evento devono essere presenti le chiavi seguenti nella parte Estensione :
- externalId = ID evento di Windows
- rt = timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o quando viene inviato ad ATA). Preferibilmente in millisecondi di accuratezza, questo è importante.
- cat = nome del registro eventi di Windows
- shost = nome host di origine
- dhost = il computer che riceve l'evento (in questo caso il controller di dominio)
- duser = autenticazione dell'utente
L'ordine non è importante per la parte Estensione
Per questi due campi deve essere presente una chiave personalizzata e keyLable:
- "EventSource"
- "Reason or Error Code" = Codice risultato di NTLM
Splunk
<Intestazione> Syslog\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYY\r\nMessage=
Il computer ha tentato di convalidare le credenziali per un account.
Pacchetto di autenticazione: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Account di accesso: Amministrazione istrator
Workstation di origine: SIEM
Codice errore: 0x0
L'intestazione Syslog è facoltativa.
Esiste un separatore di caratteri "\r\n" tra tutti i campi obbligatori. Si noti che questi sono i caratteri di controllo CRLF (0D0A in esadecimale) e non i caratteri letterali.
I campi sono in formato key=value.
Le chiavi seguenti devono esistere e avere un valore:
- EventCode = ID evento di Windows
- Logfile = nome del registro eventi di Windows
- SourceName = Nome provider di eventi di Windows
- TimeGenerated = timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o quando viene inviato ad ATA). Il formato deve corrispondere a aaaaMMddHHmmss.FFFFFF, preferibilmente in millisecondi di accuratezza, questo è importante.
- ComputerName = nome host di origine
- Message = il testo dell'evento originale dell'evento di Windows
Il valore e la chiave del messaggio DEVONO essere ultimi.
L'ordine non è importante per le coppie key=value.
QRadar
QRadar abilita la raccolta di eventi tramite un agente. Se i dati vengono raccolti usando un agente, il formato dell'ora viene raccolto senza dati in millisecondi. Poiché ATA richiede dati in millisecondi, è necessario impostare QRadar per usare la raccolta di eventi di Windows senza agente. Per altre informazioni, vedere QRadar: Raccolta di eventi di Windows senza agente tramite il protocollo MSRPC.
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
I campi necessari sono:
Tipo di agente per la raccolta
Nome del provider del registro eventi di Windows
Origine del registro eventi di Windows
Nome di dominio completo del controller di dominio
ID evento di Windows
TimeGenerated è il timestamp dell'evento effettivo (assicurarsi che non sia il timestamp dell'arrivo al SIEM o quando viene inviato ad ATA). Il formato deve corrispondere a aaaaMMddHHmmss.FFFFFF, preferibilmente in millisecondi di accuratezza, questo è importante.
Il messaggio è il testo dell'evento originale dell'evento di Windows
Assicurarsi di avere \t tra le coppie chiave=valore.
Nota
L'uso di WinCollect per la raccolta di eventi di Windows non è supportato.