이벤트 수집 구성

검색 기능을 강화하기 위해 Microsoft Defender for Identity는 이벤트 컬렉션 구성에 나열된 Windows 이벤트를 필요로 합니다. 이러한 이벤트는 Defender for Identity 센서에서 자동으로 읽거나 Defender for Identity 센서가 배포되지 않은 경우 두 가지 방법 중 하나로 Defender for Identity 독립 실행형 센서에 전달될 수 있습니다. 하나는 Defender for Identity 독립 실행형 센서가 SIEM 이벤트를 수신 대기하도록 구성하는 것이고, 다른 하나는 Windows 이벤트 전달을 구성하는 것입니다.

참고

  • Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.

Defender for Identity는 도메인 컨트롤러에서 보내고 받는 네트워크 트래픽을 수집 및 분석할 수 있을 뿐 아니라 Windows 이벤트를 사용하여 검색 기능을 추가로 개선할 수 있습니다. 이러한 이벤트는 SIEM에서 수신될 수도 있고 도메인 컨트롤러에서 Windows 이벤트 전달을 설정하여 수신할 수도 있습니다. 수집된 이벤트는 도메인 컨트롤러 네트워크 트래픽을 통해서는 사용할 수 없는 추가 정보를 Defender for Identity에 제공합니다.

Windows 이벤트 8004를 사용하여 NTLM 인증

Windows 이벤트 8004 수집을 구성하려면

  1. 다음 폴더로 이동합니다. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options
  2. 다음과 같이 도메인 그룹 정책 을 설정합니다.
    • 네트워크 보안: NTLM 제한: 원격 서버로 보내는 NTLM 트래픽 = 모두 감사
    • 네트워크 보안: NTLM 제한: 이 도메인에서 NTLM 인증 감사 = 모두 사용
    • 네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 감사 = 모든 계정에 감사 사용

Defender for Identity 센서가 Windows 이벤트 8004를 구문 분석하면 Defender for Identity NTLM 인증 작업이 서버에 액세스한 데이터로 보강됩니다.

SIEM/Syslog

Defender for Identity 독립 실행형 센서는 기본적으로 Syslog 데이터를 수신하도록 구성됩니다. Defender for Identity 독립 실행형 센서에서 해당 데이터를 사용하려면 Syslog 데이터를 센서로 전달해야 합니다.

참고

Defender for Identity는 IPv4에서만 수신하며 IPv6에서 수신하지 않습니다.

중요

  • Defender for Identity 센서로 모든 Syslog 데이터를 전달하지 마세요.
  • Defender for Identity는 SIEM/Syslog 서버의 UDP 트래픽을 지원합니다.

다른 서버로의 특정 이벤트 전달을 구성하는 방법은 SIEM/Syslog 서버의 제품 설명서를 참조하세요.

참고

SIEM/Syslog 서버를 사용하지 않는 경우 Defender for Identity에서 수집하고 분석할 모든 필수 이벤트를 전달하도록 Windows 도메인 컨트롤러를 구성할 수 있습니다.

SIEM 이벤트를 수신하도록 Defender for Identity 센서 구성

  • SIEM 또는 Syslog 서버가 Defender for Identity 독립 실행형 센서 중 하나의 IP 주소로 모든 필수 이벤트를 전달하도록 구성합니다. SIEM을 구성하는 방법에 대한 자세한 내용은 SIEM 온라인 도움말 또는 각 SIEM 서버의 특정 형식 지정 요구 사항에 대한 기술 지원 옵션을 참조하세요.

Defender for Identity는 다음 형식의 SIEM 이벤트를 지원합니다.

RSA 보안 분석

<Syslog 헤더>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • Syslog 헤더는 선택 사항입니다.

  • "\n" 문자 구분 기호는 모든 필드 사이에 필요합니다.

  • 필드는 순서대로 다음과 같습니다.

    1. RsaSA 상수(표시되어야 함)
    2. 실제 이벤트의 타임스탬프(SIEM에 도착했을 때 또는 Defender for Identity에 전송되었을 때의 타임스탬프가 아닌지 확인) 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.
    3. Windows 이벤트 ID
    4. Windows 이벤트 공급자 이름
    5. Windows 이벤트 로그 이름
    6. 이벤트를 수신하는 컴퓨터의 이름(이 예제의 경우 DC)
    7. 인증하는 사용자의 이름
    8. 원본 호스트 이름
    9. NTLM의 결과 코드
  • 순서가 중요하며, 그 밖에 어떤 것도 메시지에 포함되어서는 안 됩니다.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • 프로토콜 정의를 준수해야 합니다.

  • Syslog 헤더가 없습니다.

  • 헤더 부분(파이프로 구분된 부분)이 있어야 합니다(프로토콜에 명시된 대로).

  • Extension 부분의 다음 키가 이벤트에 있어야 합니다.

    • externalId = Windows 이벤트 ID
    • rt = 실제 이벤트의 타임스탬프(SIEM에 도착했을 때 또는 Defender for Identity에 전송되었을 때의 타임스탬프가 아닌지 확인). 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.
    • cat = Windows 이벤트 로그 이름
    • shost = 원본 호스트 이름
    • dhost = 이벤트를 수신하는 컴퓨터의 이름(이 예제의 경우 DC)
    • duser = 인증하는 사용자의 이름
  • Extension 부분에는 순서가 중요하지 않습니다.

  • 다음 두 필드에 대한 사용자 지정 키 및 키 레이블이 있어야 합니다.

    • "EventSource"
    • "Reason or Error Code" = NTLM의 결과 코드

Splunk

<Syslog 헤더>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

The computer attempted to validate the credentials for an account.

인증 패키지: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

로그온 계정: 관리자

원본 워크스테이션: SIEM

오류 코드: 0x0

  • Syslog 헤더는 선택 사항입니다.

  • 모든 필수 필드 사이에 "\r\n" 문자 구분 기호가 있습니다. 이는 리터럴 문자가 아닌 제어 문자 CRLF(0D0A 16진수)입니다.

  • 필드는 키=값 형식입니다.

  • 다음 키가 존재해야 하며 값이 있어야 합니다.

    • EventCode = Windows 이벤트 ID
    • Logfile = Windows 이벤트 로그 이름
    • SourceName = Windows 이벤트 공급자 이름
    • TimeGenerated = 실제 이벤트의 타임스탬프(SIEM에 도착했을 때 또는 Defender for Identity에 전송되었을 때의 타임스탬프가 아닌지 확인) 형식은 yyyyMMddHHmmss.FFFFFF와 일치해야 합니다. 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.
    • ComputerName = 원본 호스트 이름
    • Message = Windows 이벤트의 원래 이벤트 텍스트
  • 메시지 키와 값은 마지막 키와 값이어야 합니다.

  • 키=값 쌍에는 순서가 중요하지 않습니다.

QRadar

QRadar는 에이전트를 통해 이벤트 컬렉션을 사용하도록 설정합니다. 에이전트를 사용하여 데이터를 수집하는 경우 시간 형식은 밀리초 데이터 없이 수집됩니다. Defender for Identity에는 밀리초 단위의 데이터가 필요하기 때문에 에이전트 없는 Windows 이벤트 컬렉션을 사용하도록 QRadar를 설정해야 합니다. 자세한 내용은 https://www-01.ibm.com/support/docview.wss?uid=swg21700170을(를) 참조하세요.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

필요한 필드는 다음과 같습니다.

  • 컬렉션용 에이전트 유형

  • Windows 이벤트 로그 공급자 이름

  • Windows 이벤트 로그 원본

  • DC 정규화된 도메인 이름

  • Windows 이벤트 ID

TimeGenerated는 실제 이벤트의 타임스탬프(SIEM에 도착했을 때 또는 Defender for Identity에 전송되었을 때의 타임스탬프가 아닌지 확인)입니다. 형식은 yyyyMMddHHmmss.FFFFFF와 일치해야 합니다. 밀리초 단위의 정확도를 사용하는 것이 좋습니다. 이는 중요합니다.

Message는 Windows 이벤트의 원래 이벤트 텍스트입니다.

키=값 쌍 사이에 \t가 있는지 확인합니다.

참고

Windows 이벤트 컬렉션용 WinCollect는 사용할 수 없습니다.

참고 항목