Konfigurowanie zbierania zdarzeń

Aby zwiększyć możliwości wykrywania, Microsoft Defender for Identity potrzebuje zdarzeń Windows wymienionych w temacie Konfigurowanie zbierania zdarzeń. Te zdarzenia mogą być odczytywane automatycznie przez czujnik usługi Defender for Identity lub w przypadku, gdy czujnik usługi Defender for Identity nie został wdrożony, można przekazać go do autonomicznego czujnika usługi Defender for Identity na jeden z dwóch sposobów, konfigurując autonomiczny czujnik usługi Defender for Identity w celu nasłuchiwania zdarzeń SIEM lub przez skonfigurowanie przekazywania zdarzeń Windows.

Uwaga

  • Autonomiczne czujniki usługi Defender for Identity nie obsługują zbierania wpisów dziennika Windows (ETW), które zapewniają dane dla wielu wykrywania. Aby uzyskać pełny zakres środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.

Oprócz zbierania i analizowania ruchu sieciowego do i z kontrolerów domeny usługa Defender for Identity może używać Windows zdarzeń w celu dalszego ulepszania wykrywania. Te zdarzenia można odebrać z rozwiązania SIEM lub ustawiając Windows przekazywanie zdarzeń z kontrolera domeny. Zebrane zdarzenia zapewniają usłudze Defender for Identity dodatkowe informacje, które nie są dostępne za pośrednictwem ruchu sieciowego kontrolera domeny.

Uwierzytelnianie NTLM przy użyciu zdarzenia Windows 8004

Aby skonfigurować kolekcję Windows Event 8004:

  1. Przejdź do: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń
  2. Ustaw zasady grupy domeny w następujący sposób:
    • Zabezpieczenia sieciowe: Ogranicz NTLM: Wychodzący ruch NTLM do serwerów zdalnych = Przeprowadź inspekcję wszystkie
    • Zabezpieczenia sieciowe: Ogranicz protokół NTLM: Przeprowadź inspekcję uwierzytelniania NTLM w tej domenie = Włącz wszystko
    • Zabezpieczenia sieciowe: Ogranicz ntLM: Przeprowadź inspekcję przychodzącego ruchu NTLM = Włącz inspekcję dla wszystkich kont

Gdy Windows zdarzenie 8004 jest analizowane przez czujnik tożsamości usługi Defender for Identity, działania uwierzytelniania NTLM w usłudze Defender for Identity są wzbogacone o dostęp do danych serwera.

SIEM/Syslog

Czujniki autonomiczne usługi Defender for Identity są domyślnie konfigurowane do odbierania danych dziennika systemowego. Aby czujniki autonomiczne usługi Defender for Identity mogły korzystać z tych danych, musisz przekazać dane dziennika syslog do czujnika.

Uwaga

Usługa Defender for Identity nasłuchuje tylko w przypadku protokołu IPv4, a nie protokołu IPv6.

Ważne

  • Nie przesyłaj wszystkich danych dziennika systemowego do czujnika usługi Defender for Identity.
  • Usługa Defender for Identity obsługuje ruch UDP z serwera SIEM/Syslog.

Zapoznaj się z dokumentacją produktu serwera SIEM/Syslog, aby uzyskać informacje o tym, jak skonfigurować przekazywanie określonych zdarzeń do innego serwera.

Uwaga

Jeśli nie używasz serwera SIEM/Syslog, możesz skonfigurować kontrolery domeny Windows do przekazywania wszystkich wymaganych zdarzeń do zbierania i analizowania przez usługę Defender for Identity.

Konfigurowanie czujnika usługi Defender for Identity w celu nasłuchiwania zdarzeń SIEM

  • Skonfiguruj serwer SIEM lub Syslog, aby przekazywać wszystkie wymagane zdarzenia do adresu IP jednego z czujników autonomicznych usługi Defender for Identity. Aby uzyskać dodatkowe informacje na temat konfigurowania rozwiązania SIEM, zobacz pomoc online rozwiązania SIEM lub opcje pomocy technicznej dotyczące określonych wymagań dotyczących formatowania dla każdego serwera SIEM.

Usługa Defender for Identity obsługuje zdarzenia SIEM w następujących formatach:

RSA Security Analytics

<Nagłówek programu Syslog>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • Nagłówek programu Syslog jest opcjonalny.

  • Separator znaków "\n" jest wymagany między wszystkimi polami.

  • Pola wymienione w odpowiedniej kolejności:

    1. Stała RsaSA (musi się pojawiać).
    2. Sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity). Najlepiej w milisekundach dokładności, jest to ważne.
    3. Identyfikator zdarzenia systemu Windows
    4. Nazwa dostawcy zdarzeń systemu Windows
    5. Nazwa dziennika zdarzeń systemu Windows
    6. Nazwa komputera odbierającego zdarzenie (w tym przypadku kontrolera domeny)
    7. Nazwa uwierzytelniania użytkownika
    8. Nazwa hosta źródłowego
    9. Kod wyniku protokołu NTLM
  • Ważna jest kolejność i nic innego nie powinno być umieszczone w komunikacie.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Kontroler domeny podjął próbę sprawdzenia poprawności poświadczeń konta.|Niski| externalId=4776 cat=Zabezpieczenia rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Przyczyna lub kod błędu

  • Muszą być zgodne z definicją protokołu.

  • Brak nagłówka programu Syslog.

  • Część nagłówka (część oddzielona potokiem) musi istnieć (zgodnie z opisem w protokole).

  • Następujące klucze w części rozszerzenie muszą być obecne w zdarzeniu:

    • externalId = identyfikator zdarzenia systemu Windows
    • rt = sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity). Najlepiej w milisekundach dokładności, jest to ważne.
    • cat = nazwa dziennika zdarzeń systemu Windows
    • shost = nazwa hosta źródłowego
    • dhost = nazwa komputera odbierającego zdarzenie (w tym przypadku kontrolera domeny)
    • duser = uwierzytelnianie użytkownika
  • W części rozszerzenie kolejność nie jest ważna.

  • Musi być obecny klucz niestandardowy i etykieta klucza dla tych dwóch pól:

    • "EventSource"
    • "Przyczyna lub kod błędu" = kod wyniku NTLM

Splunk

<Nagłówek programu Syslog>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Komputer podjął próbę zweryfikowania poświadczeń dla konta.

Pakiet uwierzytelniania: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Konto logowania: Administrator

Źródłowa stacja robocza: SIEM

Kod błędu: 0x0

  • Nagłówek programu Syslog jest opcjonalny.

  • Istnieje separator znaków "\r\n" między wszystkimi wymaganymi polami. Należy pamiętać, że są to znaki sterujące CRLF (0D0A w szesnastku), a nie znaki literału.

  • Pola mają format klucz=wartość.

  • Następujące klucze muszą istnieć i mieć wartość:

    • EventCode = identyfikator zdarzenia systemu Windows
    • Logfile = nazwa dziennika zdarzeń systemu Windows
    • SourceName = nazwa dostawcy zdarzeń systemu Windows
    • TimeGenerated = sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity). Format powinien być zgodny z rrrrrrMddHmmss.FFFFFF, najlepiej w milisekundach dokładności, jest to ważne.
    • ComputerName = nazwa hosta źródłowego
    • Message = oryginalny tekst zdarzenia ze zdarzenia systemu Windows
  • Klucz Message i jego wartość MUSZĄ być ostatnie.

  • Kolejność nie jest ważna dla par klucz=wartość.

QRadar

Platforma QRadar umożliwia zbieranie zdarzeń za pośrednictwem agenta. Gdy dane są gromadzone przy użyciu agenta, format czasu jest gromadzony bez danych milisekund. Ponieważ usługa Defender for Identity wymaga milisekund danych, należy ustawić usługę QRadar tak, aby korzystała z zbierania zdarzeń bez agenta Windows. Aby uzyskać więcej informacji, zobacz https://www-01.ibm.com/support/docview.wss?uid=swg21700170.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Wymagane pola to:

  • Typ agenta dla kolekcji

  • Nazwa dostawcy dziennika zdarzeń systemu Windows

  • Źródło dziennika zdarzeń systemu Windows

  • W pełni kwalifikowana nazwa domeny DC

  • Identyfikator zdarzenia systemu Windows

TimeGenerated to sygnatura czasowa rzeczywistego zdarzenia (upewnij się, że nie jest to sygnatura czasowa przybycia do rozwiązania SIEM lub gdy jest wysyłana do usługi Defender for Identity). Format powinien być zgodny z rrrrrrMddHmmss.FFFFFF, najlepiej w milisekundach dokładności, jest to ważne.

Message to oryginalny tekst zdarzenia ze zdarzenia systemu Windows

Upewnij się, że między parami klucz=wartość znajduje się parametr \t.

Uwaga

Zbieranie zdarzeń systemu Windows przy użyciu modułu WinCollect nie jest obsługiwane.

Zobacz też