Instalação do ATA - Etapa 6Install ATA - Step 6

Aplica-se a: Advanced Threat Analytics versão 1.9Applies to: Advanced Threat Analytics version 1.9

Etapa 6.Step 6. Configurar coleta de eventosConfigure event collection

Configurar coleta de eventosConfigure Event Collection

Para aprimorar as funcionalidades de detecção, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757 e 7045.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757 and 7045. Esses eventos do Windows são lidos automaticamente pelo gateway Lightweight do ATA ou, caso o gateway Lightweight do ATA não esteja implantado, eles podem ser encaminhados para o gateway do ATA de uma das duas maneiras, seja Configurando o gateway do ATA para escutar eventos do SIEM ou Configurando o encaminhamento de eventos do Windows.These Windows events are either read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, they can be forwarded to the ATA Gateway in one of two ways, either by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

Observação

Para as versões 1,8 e superiores do ATA, a configuração da coleta de eventos do Windows não é mais necessária para gateways Lightweight do ATA.For ATA versions 1.8 and higher, Windows event collection configuration is no longer necessary for ATA Lightweight Gateways. O Gateway Lightweight do ATA realiza a leitura de eventos localmente, sem a necessidade de configurar o encaminhamento de eventos.The ATA Lightweight Gateway now read events locally, without the need to configure event forwarding.

Além de coletar e analisar o tráfego de rede para e nos controladores de domínio, o ATA pode usar os eventos do Windows para aprimorar ainda mais as detecções.In addition to collecting and analyzing network traffic to and from the domain controllers, ATA can use Windows events to further enhance detections. Ele usa o evento 4776 para NTLM que melhora várias detecções e os eventos 4732, 4733, 4728, 4729, 4756 e 4757 para aprimorar a detecção de modificações de grupo confidencial.It uses event 4776 for NTLM, which enhances various detections and events 4732, 4733, 4728, 4729, 4756, and 4757 for enhancing detection of sensitive group modifications. Isso pode ser recebido de seu SIEM definindo o Encaminhamento de Eventos do Windows no controlador de domínio.This can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. Os eventos coletados fornecem à ATA informações adicionais que não estão disponíveis por meio do tráfego de rede do controlador de domínio.Events collected provide ATA with additional information that is not available via the domain controller network traffic.

SIEM/SyslogSIEM/Syslog

Para o ATA poder consumir dados de um servidor Syslog, você precisa executar as seguintes etapas:For ATA to be able to consume data from a Syslog server, you need to perform the following steps:

  • Configurar seus servidores do Gateway do ATA para escutar e aceitar eventos encaminhados do servidor SIEM/Sylog.Configure your ATA Gateway servers to listen to and accept events forwarded from the SIEM/Syslog server.

Observação

ATA escuta somente IPv4, não IPv6.ATA only listens on IPv4 and not IPv6.

  • Configurar seu servidor Syslog/SIEM para encaminhar eventos específicos ao Gateway do ATA.Configure your SIEM/Syslog server to forward specific events to the ATA Gateway.

Importante

  • Não encaminhe todos os dados de Syslog para o Gateway do ATA.Do not forward all the Syslog data to the ATA Gateway.
  • O ATA oferece suporte ao tráfego UDP do servidor SIEM/Syslog.ATA supports UDP traffic from the SIEM/Syslog server.

Consulte a documentação de produto do seu servidor SIEM/Syslog para saber como configurar o encaminhamento de eventos específicos para outro servidor.Refer to your SIEM/Syslog server's product documentation for information on how to configure forwarding of specific events to another server.

Observação

Se você não usa um servidor Syslog/SIEM, é possível configurar os controladores de domínio do Windows para encaminhar a ID de Evento do Windows 4776 para ser coletada e analisada pelo ATA.If you do not use a SIEM/Syslog server, you can configure your Windows domain controllers to forward Windows Event ID 4776 to be collected and analyzed by ATA. A ID de Evento do Windows 4776 fornece dados sobre autenticações NTLM.Windows Event ID 4776 provides data regarding NTLM authentications.

Configuração do Gateway de ATA para escutar eventos SIEMConfiguring the ATA Gateway to listen for SIEM events

  1. Na configuração do ATA, em Fontes de dados clique em SIEM, ative Syslog e clique em Salvar.In ATA Configuration, under Data sources click SIEM and turn on Syslog and click Save.

    Habilitar a imagem UDP de ouvinte de syslog

  2. Configure o servidor Syslog ou SIEM para encaminhar a ID de Evento do Windows 4776 para o endereço IP de um dos Gateways ATA.Configure your SIEM or Syslog server to forward Windows Event ID 4776 to the IP address of one of the ATA Gateways. Para saber mais sobre como configurar o SIEM, confira a ajuda online do SIEM ou opções de suporte técnico para obter os requisitos de formatação específica para cada servidor SIEM.For additional information on configuring your SIEM, see your SIEM online help or technical support options for specific formatting requirements for each SIEM server.

O ATA oferece suporte a eventos de SIEM nos seguintes formatos:ATA supports SIEM events in the following formats:

Análise de Segurança do RSARSA Security Analytics

<Cabeçalho do Syslog>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • O cabeçalho do Syslog é opcional.Syslog header is optional.

  • o separador de caractere "\n" é necessário entre todos os campos.“\n” character separator is required between all fields.

  • Os campos, em ordem, são:The fields, in order, are:

    1. Constante RsaSA (deve aparecer).RsaSA constant (must appear).

    2. O carimbo de hora do evento real (verifique se ele não é o carimbo de hora de chegada no SIEM, ou do envio para o ATA).The timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Preferencialmente com a precisão em milissegundos, isso é importante.Preferably in milliseconds accuracy, this is important.

    3. A ID de evento do WindowsThe Windows event ID

    4. O nome do provedor de eventos do WindowsThe Windows event provider name

    5. O nome do log de eventos do WindowsThe Windows event log name

    6. O nome do computador que está recebendo o evento (o controlador de domínio neste caso)The name of the computer receiving the event (the DC in this case)

    7. O nome do usuário que está autenticandoThe name of the user authenticating

    8. O nome do host de origemThe name of the source host name

    9. O código resultante do NTLMThe result code of the NTLM

  • A ordem é importante, e nada mais deve ser incluído na mensagem.The order is important and nothing else should be included in the message.

HP ArcsightHP Arcsight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|O controlador de domínio tentou validar as credenciais de uma conta.|Baixo| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Motivo ou Código de erroCEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • Deve estar em conformidade com a definição de protocolo.Must comply with the protocol definition.

  • Nenhum cabeçalho de syslog.No syslog header.

  • A parte do cabeçalho (a parte separada por uma barra vertical) deve existir (conforme mencionado no protocolo).The header part (the part that’s separated by a pipe) must exist (as stated in the protocol).

  • As seguintes chaves na parte Extensão devem estar presentes no evento:The following keys in the Extension part must be present in the event:

    • externalId = a ID de evento do WindowsexternalId = the Windows event ID

    • rt = o carimbo de hora do evento real (verifique se ele não é o carimbo de hora de chegada no SIEM, ou do envio para o ATA).rt = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Preferencialmente com a precisão em milissegundos, isso é importante.Preferably in milliseconds accuracy, this is important.

    • cat = o nome do log de eventos do Windowscat = the Windows event log name

    • shost = o nome do host de origemshost = the source host name

    • dhost = o computador que está recebendo o evento (o controlador de domínio neste caso)dhost = the computer receiving the event (the DC in this case)

    • duser = o usuário que está autenticandoduser = the user authenticating

  • A ordem não é importante para a parte ExtensãoThe order is not important for the Extension part

  • Deve haver uma chave personalizada e um keyLable para esses dois campos:There must be a custom key and keyLable for these two fields:

    • “EventSource”“EventSource”

    • “Motivo ou Código de erro” = o código resultante do NTLM“Reason or Error Code” = The result code of the NTLM

SplunkSplunk

<Cabeçalho do Syslog>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

O computador tentou validar as credenciais de uma conta.The computer attempted to validate the credentials for an account.

Pacote de autenticação: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Conta de Logon: AdministradorLogon Account: Administrator

Estação de Trabalho de Origem: SIEMSource Workstation: SIEM

Código de erro: 0x0Error Code: 0x0

  • O cabeçalho do Syslog é opcional.Syslog header is optional.

  • Há um separador de caracteres "\r\n" entre todos os campos obrigatórios.There’s a “\r\n” character separator between all required fields.

  • Os campos estão no formato chave=valor.The fields are in key=value format.

  • As chaves a seguir devem existir e ter um valor:The following keys must exist and have a value:

    • EventCode = a ID de evento do WindowsEventCode = the Windows event ID

    • Logfile = o nome do log de eventos do WindowsLogfile = the Windows event log name

    • SourceName = o nome do provedor de eventos do WindowsSourceName = The Windows event provider name

    • TimeGenerated = O carimbo de hora do evento real (verifique se não é o carimbo de hora de chegada no SIEM, ou do envio para o ATA).TimeGenerated = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). O formato deve corresponder a aaaaMMddHHmmss.FFFFFF, preferencialmente com precisão de milissegundos, isso é importante.The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is important.

    • ComputerName = o nome do host de origemComputerName = the source host name

    • Mensagem = o texto do evento original do evento do WindowsMessage = the original event text from the Windows event

  • A Chave da Mensagem e o valor DEVEM ser os últimos.The Message Key and value MUST be last.

  • A ordem não é importante para os pares de chave=valorThe order is not important for the key=value pairs.

QRadarQRadar

O QRadar permite a coleta de eventos por meio de um agente.QRadar enables event collection via an agent. Se os dados forem reunidos usando um agente, o formato de hora será coletado sem dados de milissegundos.If the data is gathered using an agent, the time format is gathered without millisecond data. Uma vez que o ATA precisa dos dados de milissegundos, é necessário definir o QRadar para usar a coleta de eventos do Windows sem agente.Because ATA necessitates millisecond data, it is necessary to set QRadar to use agentless Windows event collection. Para obter mais informações, confira http://www-01.ibm.com/support/docview.wss?uid=swg21700170.For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21700170.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Os campos necessários são:The fields needed are:

  • O tipo de agente para a coletaThe agent type for the collection
  • O nome do provedor do log de eventos do WindowsThe Windows event log provider name
  • A fonte do log de eventos do WindowsThe Windows event log source
  • O nome de domínio totalmente qualificado do DCThe DC fully qualified domain name
  • A ID de evento do WindowsThe Windows event ID

TimeGenerated é o carimbo de data/hora do evento real (verifique se não é o carimbo de data/hora de chegada no SIEM, ou do envio para o ATA).TimeGenerated is the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). O formato deve corresponder a aaaaMMddHHmmss.FFFFFF, preferencialmente com precisão de milissegundos, isso é importante.The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is important.

A mensagem é o texto do evento original do evento do WindowsMessage is the original event text from the Windows event

Certifique-se de ter \t entre os pares de chave=valor.Make sure to have \t between the key=value pairs.

Observação

Não há suporte ao uso do WinCollect para a coleta de eventos do Windows.Using WinCollect for Windows event collection is not supported.

Confira TambémSee Also