Luisteren naar SIEM-gebeurtenissen op uw zelfstandige Defender for Identity-sensor

  • Artikel

In dit artikel worden de vereiste berichtsyntaxis beschreven bij het configureren van een zelfstandige Defender for Identity-sensor om te luisteren naar ondersteunde SIEM-gebeurtenistypen. Luisteren naar SIEM-gebeurtenissen is één methode voor het verbeteren van uw detectiemogelijkheden met extra Windows-gebeurtenissen die niet beschikbaar zijn via het domeincontrollernetwerk.

Zie het overzicht van windows-gebeurtenisverzamelingen voor meer informatie.

Belangrijk

Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.

RSA Security Analytics

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar RSA Security Analytics-gebeurtenissen:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

In deze syntaxis:

  • De syslog-header is optioneel.

  • Het \n tekenscheidingsteken is vereist tussen alle velden.

  • De velden, in volgorde, zijn:

    1. (Vereist) RsaSA-constante
    2. De tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat dit niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar Defender for Identity wordt verzonden. We raden u ten zeerste aan een nauwkeurigheid van milliseconden te gebruiken.
    3. De Windows-gebeurtenis-id
    4. De naam van de Windows-gebeurtenisprovider
    5. De naam van het Windows-gebeurtenislogboek
    6. De naam van de computer die de gebeurtenis ontvangt, zoals de domeincontroller
    7. De naam van de gebruiker die zich verifiëren
    8. De naam van de hostnaam van de bron
    9. De resultaatcode van de NTLM

Belangrijk

De volgorde van de velden is belangrijk en niets anders moet worden opgenomen in het bericht.

MicroFocus ArcSight

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar MicroFocus ArcSight-gebeurtenissen:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

In deze syntaxis:

  • Uw bericht moet voldoen aan de protocoldefinitie.

  • Er is geen syslog-header opgenomen.

  • Het koptekstgedeelte, gescheiden door een pijp (|) moet worden opgenomen, zoals vermeld in het protocol

  • De volgende sleutels in het extensieonderdeel moeten aanwezig zijn in de gebeurtenis:

    Toets Beschrijving
    externalId De Windows-gebeurtenis-id
    Rt De tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat de waarde niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar Defender for Identity wordt verzonden. Zorg er ook voor dat u een nauwkeurigheid van milliseconden gebruikt.
    Cat De naam van het Windows-gebeurtenislogboek
    shost De hostnaam van de bron
    dhost De computer die de gebeurtenis ontvangt, zoals de domeincontroller
    duser De gebruiker verifiëren

    De volgorde is niet belangrijk voor het extensieonderdeel .

  • U moet een aangepaste sleutel en keyLable hebben voor de volgende velden:

    • EventSource
    • Reason or Error Code = De resultaatcode van de NTLM

Splunk

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar Splunk-gebeurtenissen:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

In deze syntaxis:

  • De syslog-header is optioneel.

  • Er is een \r\n tekenscheidingsteken tussen alle vereiste velden. Dit zijn CRLF besturingstekens(0D0A in hex) en niet letterlijke tekens.

  • De velden zijn opgemaakt key=value .

  • De volgende sleutels moeten bestaan en een waarde hebben:

    Name Beschrijving
    EventCode De Windows-gebeurtenis-id
    Logfile De naam van het Windows-gebeurtenislogboek
    Sourcename De naam van de Windows-gebeurtenisprovider
    TimeGenerated De tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat de waarde niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar Defender for Identity wordt verzonden. De tijdstempelnotatie moet zijn The format should match yyyyMMddHHmmss.FFFFFFen u moet een nauwkeurigheid van milliseconden gebruiken.
    ComputerName De hostnaam van de bron
    Bericht De oorspronkelijke gebeurtenistekst van de Windows-gebeurtenis

  • De berichtsleutel en waarde moeten voor het laatst zijn.

  • De volgorde is niet belangrijk voor de sleutel-waardeparen.

Er wordt een bericht weergegeven dat er ongeveer als volgt uitziet:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar schakelt gebeurtenisverzameling via een agent in. Als de gegevens worden verzameld met behulp van een agent, wordt de tijdnotatie verzameld zonder millisecondegegevens.

Omdat Defender for Identity milliseconden nodig heeft, moet u QRadar eerst configureren voor het gebruik van windows-gebeurtenisverzameling zonder agent. Zie QRadar: Windows-gebeurtenissenverzameling zonder agent met behulp van het MSRPC-protocol voor meer informatie.

Gebruik de volgende berichtsyntaxis om uw zelfstandige sensor te configureren om te luisteren naar QRadar-gebeurtenissen:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

In deze syntaxis moet u de volgende velden opnemen:

  • Het agenttype voor de verzameling
  • De naam van de Windows-gebeurtenislogboekprovider
  • De bron van het Windows-gebeurtenislogboek
  • De volledig gekwalificeerde DC-domeinnaam
  • De Windows-gebeurtenis-id
  • TimeGenerated, dit is de tijdstempel van de werkelijke gebeurtenis. Zorg ervoor dat de waarde niet de tijdstempel is van de aankomst naar de SIEM of wanneer deze naar Defender for Identity wordt verzonden. De tijdstempelnotatie moet zijn The format should match yyyyMMddHHmmss.FFFFFFen moet een nauwkeurigheid van milliseconden hebben.

Zorg ervoor dat het bericht de oorspronkelijke gebeurtenistekst van de Windows-gebeurtenis bevat en dat u tussen de sleutel-waardeparen hebt \t .

Notitie

Het gebruik van WinCollect voor Windows-gebeurtenisverzameling wordt niet ondersteund.

Gerelateerde inhoud

Zie voor meer informatie: