Defender for Identity スタンドアロン センサーで SIEM イベントをリッスンする

  • [アーティクル]

この記事では、サポートされている SIEM イベントの種類をリッスンするように、Defender for Identity スタンドアロン センサーを構成する際に必要なメッセージ構文について説明します。 SIEM イベントのリッスンは、ドメイン コントローラー ネットワークでは検出できない追加の Windows イベントによって、検出機能を強化する 1 つの方法です。

詳細については、「Windows イベント コレクションの概要」を参照してください。

重要

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

RSA セキュリティ分析

次のメッセージ構文を使用して、RSA セキュリティ分析イベントをリッスンするようにスタンドアロン センサーを構成します。

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

この構文では:

  • Syslog ヘッダーはオプションです。

  • すべてのフィールドの間に「\n」の区切り文字が必要です。

  • フィールドの順序は次のとおりです。

    1. (必須) RsaSA 定数
    2. 実際のイベントのタイムスタンプ。 SIEM の到着時のタイムスタンプや、Defender for Identity への送信時のタイムスタンプではないことを確認してください。 ミリ秒の精度を使用することを強くお勧めします。
    3. Windows イベント ID
    4. Windows イベント プロバイダー名
    5. Windows イベント ログ名
    6. イベントを受信するコンピューターの名前 (ドメイン コントローラーなど)
    7. ユーザー認証名
    8. ソース・ホスト名の名前
    9. NTLM の結果コード

重要

フィールドの順序は重要であり、メッセージには他に何も含めないでください。

MicroFocus ArcSight

次のメッセージ構文を使用して、MicroFocus ArcSight イベントをリッスンするようにスタンドアロン センサーを構成します。

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

この構文では:

  • メッセージはプロトコル定義に準拠している必要があります。

  • Syslog ヘッダーは含まれません。

  • プロトコルに記載されているように、ヘッダー部分はパイプ (|) で区切って含める必要があります

  • 拡張機能部分の次のキーは、イベントに存在する必要があります。

    キー 説明
    externalId Windows イベント ID
    rt 実際のイベントのタイムスタンプ。 値は SIEM の到着時のタイムスタンプや、Defender for Identity への送信時のタイムスタンプではないことを確認してください。 また、必ずミリ秒の精度を使用してください。
    cat Windows イベント ログ名
    shost ソース ホスト名
    dhost イベントを受信するコンピューター (ドメイン コントローラーなど)
    duser ユーザー認証

    順序は、拡張機能部分では重要ではありません。

  • 次のフィールドには、カスタム キーと keyLable が必要です。

    • EventSource
    • Reason or Error Code = NTLM の結果コード

Splunk

次のメッセージ構文を使用して、Splunk イベントをリッスンするようにスタンドアロン センサーを構成します。

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

この構文では:

  • Syslog ヘッダーはオプションです。

  • すべての必須フィールドの間に「\r\n」区切り文字があります。 これらは制御文字 CRLF (16 進数の 0D0A) であり、リテラル文字ではありません。

  • フィールドは key=value 形式です。

  • 次のキーが存在し、値を持っている必要があります。

    名前 説明
    EventCode Windows イベント ID
    Logfile Windows イベント ログ名
    [SourceName] Windows イベント プロバイダー名
    TimeGenerated 実際のイベントのタイムスタンプ。 値は SIEM の到着時のタイムスタンプや、Defender for Identity への送信時のタイムスタンプではないことを確認してください。 タイムスタンプ形式は The format should match yyyyMMddHHmmss.FFFFFF で、ミリ秒の精度を使用する必要があります。
    [ComputerName] ソース ホスト名
    メッセージ Windows イベントの元のイベント テキスト

  • メッセージ キーと値は最後である必要があります。

  • キーと値のペアでは順序は重要ではありません。

次のようなメッセージが表示されます。

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar では、エージェントを介したイベント収集が有効になります。 エージェントを使用してデータを収集する場合、時間形式はミリ秒のデータなしで収集されます。

Defender for Identity にはミリ秒のデータが必要であるため、エージェントレス Windows イベント コレクションを使用するように QRadar を設定する必要があります。 詳細については、「QRadar: MSRPC プロトコルを使用したエージェントレス Windows イベント コレクション」を参照してください。

次のメッセージ構文を使用して、QRadar イベントをリッスンするようにスタンドアロン センサーを構成します。

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

この構文では、次のフィールドを含める必要があります。

  • コレクションのエージェントの種類
  • Windows イベント ログ プロバイダー名
  • Windows イベント ログ ソース
  • DC は、完全修飾ドメイン名です。
  • Windows イベント ID
  • TimeGenerated。これは実際のイベントのタイムスタンプです。 値は SIEM の到着時のタイムスタンプや、Defender for Identity への送信時のタイムスタンプではないことを確認してください。 タイムスタンプ形式は The format should match yyyyMMddHHmmss.FFFFFF で、ミリ秒の精度を使用する必要があります。

メッセージに Windows イベントの元のイベント テキストが含まれていること、およびキーと値のペアの間に \t があることを確認します。

Note

WinCollect for Windows イベント コレクションの使用はサポートされていません。

関連するコンテンツ

詳細については、以下を参照してください: