Nasłuchiwanie zdarzeń SIEM w autonomicznym czujniku usługi Defender for Identity

  • Artykuł

W tym artykule opisano wymaganą składnię komunikatów podczas konfigurowania autonomicznego czujnika usługi Defender for Identity do nasłuchiwania obsługiwanych typów zdarzeń SIEM. Nasłuchiwanie zdarzeń SIEM to jedna z metod zwiększania możliwości wykrywania przy użyciu dodatkowych zdarzeń systemu Windows, które nie są dostępne w sieci kontrolera domeny.

Aby uzyskać więcej informacji, zobacz Omówienie zbierania zdarzeń systemu Windows.

Ważne

Autonomiczne czujniki usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń systemu Windows (ETW), które zapewniają dane dla wielu wykryć. Aby uzyskać pełny zakres środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.

Analiza zabezpieczeń RSA

Użyj następującej składni komunikatu, aby skonfigurować autonomiczny czujnik do nasłuchiwania zdarzeń analizy zabezpieczeń RSA:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

W tej składni:

  • Nagłówek dziennika systemowego jest opcjonalny.

  • Separator \n znaków jest wymagany między wszystkimi polami.

  • Pola w kolejności to:

    1. (Wymagane) Stała RsaSA
    2. Sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Zdecydowanie zalecamy użycie dokładności milisekund.
    3. Identyfikator zdarzenia systemu Windows
    4. Nazwa dostawcy zdarzeń systemu Windows
    5. Nazwa dziennika zdarzeń systemu Windows
    6. Nazwa komputera odbierającego zdarzenie, takie jak kontroler domeny
    7. Nazwa użytkownika uwierzytelniającego
    8. Nazwa źródłowego hosta
    9. Kod wyniku NTLM

Ważne

Kolejność pól jest ważna i nic innego nie należy uwzględniać w komunikacie.

MicroFocus ArcSight

Użyj następującej składni komunikatu, aby skonfigurować autonomiczny czujnik do nasłuchiwania zdarzeń microFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

W tej składni:

  • Komunikat musi być zgodny z definicją protokołu.

  • Nie dołączono nagłówka dziennika systemowego.

  • Część nagłówka oddzielona potokiem (|) musi być dołączona zgodnie z opisem w protokole

  • W przypadku zdarzenia muszą znajdować się następujące klucze w części Rozszerzenie :

    Key opis
    externalId Identyfikator zdarzenia systemu Windows
    Rt Sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że wartość nie jest sygnaturą czasową przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Upewnij się również, że używasz dokładności milisekund.
    Cat Nazwa dziennika zdarzeń systemu Windows
    host shost Nazwa hosta źródłowego
    dhost Komputer odbierający zdarzenie, takie jak kontroler domeny
    duser Użytkownik uwierzytelniający

    Kolejność nie jest ważna dla części Rozszerzenia .

  • Musisz mieć niestandardowy klucz i kluczLable dla następujących pól:

    • EventSource
    • Reason or Error Code = kod wyniku NTLM

Splunk

Użyj następującej składni komunikatu, aby skonfigurować autonomiczny czujnik do nasłuchiwania zdarzeń splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

W tej składni:

  • Nagłówek dziennika systemowego jest opcjonalny.

  • \r\n Istnieje separator znaków między wszystkimi wymaganymi polami. CRLF Są to znaki sterujące , (0D0A w szesnastkowym), a nie znaki literału.

  • Pola są w key=value formacie.

  • Następujące klucze muszą istnieć i mieć wartość:

    Nazwa/nazwisko opis
    Kod zdarzenia Identyfikator zdarzenia systemu Windows
    Logfile Nazwa dziennika zdarzeń systemu Windows
    Nazwaobiektu Nazwa dostawcy zdarzeń systemu Windows
    TimeGenerated Sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że wartość nie jest sygnaturą czasową przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Format znacznika czasu musi mieć The format should match yyyyMMddHHmmss.FFFFFFwartość i należy użyć dokładności milisekund.
    ComputerName Nazwa hosta źródłowego
    Wiadomość Oryginalny tekst zdarzenia ze zdarzenia systemu Windows

  • Klucz komunikatu i wartość muszą być ostatnie.

  • Kolejność nie jest ważna dla par key=value.

Zostanie wyświetlony komunikat podobny do następującego:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

Funkcja QRadar umożliwia zbieranie zdarzeń za pośrednictwem agenta. Jeśli dane są zbierane przy użyciu agenta, format czasu jest zbierany bez danych milisekundowych.

Ponieważ usługa Defender for Identity wymaga danych milisekundowych, należy najpierw skonfigurować usługę QRadar tak, aby korzystała z bez agenta zbierania zdarzeń systemu Windows. Aby uzyskać więcej informacji, zobacz QRadar: Zbieranie zdarzeń systemu Windows bez agenta przy użyciu protokołu MSRPC.

Użyj następującej składni komunikatu, aby skonfigurować autonomiczny czujnik do nasłuchiwania zdarzeń QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

W tej składni należy uwzględnić następujące pola:

  • Typ agenta dla kolekcji
  • Nazwa dostawcy dziennika zdarzeń systemu Windows
  • Źródło dziennika zdarzeń systemu Windows
  • W pełni kwalifikowana nazwa domeny kontrolera domeny
  • Identyfikator zdarzenia systemu Windows
  • TimeGenerated, czyli sygnatura czasowa rzeczywistego zdarzenia. Upewnij się, że wartość nie jest sygnaturą czasową przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity. Format znacznika czasu musi mieć The format should match yyyyMMddHHmmss.FFFFFFwartość i musi mieć dokładność milisekund.

Upewnij się, że komunikat zawiera oryginalny tekst zdarzenia ze zdarzenia systemu Windows i że masz \t między parami key=value.

Uwaga

Używanie biblioteki WinCollect dla zbierania zdarzeń systemu Windows nie jest obsługiwane.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz: