Справочник по журналам ATA SIEM
Область применения: Advanced Threat Analytics версии 1.9
ATA может пересылать события оповещений о безопасности и работоспособности в SIEM. Оповещения перенаправляются в формате CEF. Ниже приведен пример каждого типа журнала оповещений системы безопасности для отправки в SIEM.
Примеры оповещений системы безопасности ATA в формате CEF
Следующие поля и их значения перенаправляются в SIEM:
- start — время запуска оповещения
- suser — учетная запись (обычно учетная запись пользователя), связанная с оповещением
- shost — исходный компьютер оповещения
- результат — оповещения с определенным успехом действия или сбоем, выполненным в оповещении
- msg — описание оповещения
- cnt — оповещения с числом случаев, когда произошло оповещение (например, метод подбора имеет количество угаданных паролей).
- приложение — протокол оповещений
- externalId — ATA идентификатора события записывается в журнал событий, соответствующий оповещению*
- cs#label и cs# — строки клиента, которые CEF позволяет использовать метку cs#, — имя нового поля, а cs# — значение, например cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5909ae198ca1ec04d05e65fa
В этом примере cs1 — это поле с URL-адресом оповещения.
*Если вы создаете скрипты или автоматизацию на основе журналов, используйте постоянный внешний идентификатор каждого журнала вместо использования имен журналов, так как имена журналов могут изменяться без уведомления.
| Имена оповещений | Идентификаторы событий оповещений |
|---|---|
| 2001 | Подозрение на кражу удостоверений на основе аномального поведения |
| 2002 | Нестандартная реализация протокола |
| 2003 | Рекогносцировка путем перечисления учетных записей |
| 2004 | Атака методом подбора с использованием простой привязки LDAP |
| 2006 | Вредоносное реплика служб каталогов |
| 2007 | Рекогносцировка с использованием DNS |
| 2008 | Действие по понижению уровня шифрования |
| 2009 | Понижение уровня шифрования (потенциальный золотой билет) |
| 2010 | Действие понижения уровня шифрования (потенциальный перебор-хэш) |
| 2011 | Действие понижения уровня шифрования (потенциальный скелетный ключ) |
| 2012 | Разведка с помощью перечисления сеансов S МБ |
| 2013 | Эскалация привилегий с использованием данных авторизации forged |
| 2014 | Действие с использованием токена-приманки |
| 2016 | Массовое удаление объектов |
| 2017 | Кража удостоверений с помощью атаки Pass-the-Hash |
| 2018 | Кража удостоверений с помощью атаки Pass-the-Ticket |
| 2019 | Обнаружение попытки удаленного выполнения |
| 2020 | Запрос на защиту вредоносных данных |
| 2021 | Разведка с помощью запросов служб каталогов |
| 2022 | Действие Kerberos Golden Ticket |
| 2023 | Подозрительные ошибки проверки подлинности |
| 2024 | Ненормальное изменение конфиденциальных групп |
| 2026 | Создание подозрительной службы |
Примеры журналов
Приоритеты: 3=Низкий 5=Средний 10=Высокий
Ненормальное изменение конфиденциальных групп
1 2018-12-12T16:53:22.925757+00:00 CENTER ATA 4688 AbnormalSensitiveGroupMembership CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|AbnormalSensitiveGroupMembershipChangeSuspiciousActivity|Ненормальное изменение конфиденциальных групп|5|start=2018-12-12T18:52:58.000000Z app=GroupMembershipChangeEvent suser=krbtgt msg=krbtgt имеет нехарактерно измененные членства в конфиденциальных группах. externalId=2024 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113d028ca1ec1250ca0491
Атака методом подбора с использованием простой привязки LDAP
12-12-2018 19:52:18 Auth.Warning 192.168.0.222 1 2018-12-12T17:52:18.899690+00:00 CENTER ATA 4688 LdapBruteForceSuspiciousActivitȳ ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|LdapBruteForceSuspiciousActivity|Атака методом подбора с помощью простой привязки LDAP|5|start=2018-12-12T17:52:10.2350665Z app=Ldap msg=10000 паролей, предпринята попытка 100 учетных записей из W2012R2-000000-Server. Один пароль учетной записи успешно угадался. externalId=2004 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114acb8ca1ec1250cacdcb
Действие понижения уровня шифрования (Золотой билет)
12-12-2018 20:12:35 Auth.Warning 192.168.0.222 1 2018-12-12T18:12:35.105942+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct̄ ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Действие понижения уровня шифрования|5|start=2018-12-12T18:10:35.0334169Z app=Kerberos msg=Метод шифрования поля TGT TGS_REQ сообщения из W2012R2-000000-Server был понижен на основе ранее изученного поведения. Это может быть результатом использования Golden Ticket на W2012R2-000000-Server. externalId=2009 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114f938ca1ec1250cafcfa
Действие понижения уровня шифрования (overpass-the-hash)
12-12-2018 19:00:31 Auth.Warning 192.168.0.222 1 2018-12-12T17:00:31.963485+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Действие понижения уровня шифрования|5|start=2018-12-12T17:00:31.2975188Z app=Kerberos msg=The encryption method of the Encrypted_Timestamp field of AS_REQ message from W2012R2-000000-Server был понижен на основе ранее изученного поведения. Это может быть результатом кражи учетных данных с помощью Overpass-the-Hash из W2012R2-000000-Server. externalId=2010 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113eaf8ca1ec1250ca0883
Действие понижения уровня шифрования (скелетный ключ)
12-12-2018 20:07:24 Auth.Warning 192.168.0.222 1 2018-12-12T18:07:24.065140+00:00 CENTER ATA 4688 EncryptionDowngradeSuspiciousAct̄ ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Действие понижения уровня шифрования|5|start=2018-12-12T18:07:24.0222746Z app=Kerberos msg=Метод шифрования поля ETYPE_INFO2 поля KRB_ERR сообщения от W2012R2-000000-Server был понижен на основе ранее изученного поведения. Это может быть результатом скелетного ключа в DC1. externalId=2011 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e5c8ca1ec1250cafafe
Действие с использованием токена-приманки
12-12-2018 19:51:52 Auth.Warning 192.168.0.222 1 2018-12-12T17:51:52.659618+00:00 CENTER ATA 4688 HoneytokenActivitySuspiciousActi « ̄ ̄ cyCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|HoneytokenActivitySuspiciousActivity|Действие Honeytoken|5|start=2018-12-12T17:51:52.585994Z app=Kerberos suser=USR78982 msg=Следующие действия были выполнены USR78982 LAST78982:\r\nAuthenticated из CLIENT1 с помощью NTLM при доступе к domain1.test.local\cifs в DC1. externalId=2014 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114ab88ca1ec1250ca7f76
Кража удостоверений с помощью атаки Pass-the-Hash
12-12-2018 19:56:02 Auth.Error 192.168.0.222 1 2018-12-12T17:56:02.047236+00:00 CENTER ATA 4688 PassTheHashSuspiciousActivitȳ fxCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|PassTheHashSuspiciousActivity|Кража удостоверений с помощью атаки Pass-the-Hash|10|start=2018-12T17:54:01.9582400Z app=Ntlm suser=USR46829 LAST46829 msg=USR46829 LAST46829 хэш был украден с одного из компьютеров, ранее вошедших в USR46829 LAST46829 и используемых из W2012R2-000000-Server. externalId=2017 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114bb28ca1ec1250caf673
Кража удостоверений с помощью атаки Pass-the-Ticket
12-12-2018 22:03:51 Auth.Error 192.168.0.222 1 2018-12-12T20:03:51.643633+00:00 CENTER ATA 4688 PassTheTicketSuspiciousActivitȳ fxCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|PassTheTicketSuspiciousActivity|Кража удостоверений с помощью атаки Pass-the-Ticket|10|start=2018-12-12T17:54:12.9960662Z app=Kerberos suser=Birdie Lamb msg=Birdie Lamb (инженер программного обеспечения) билеты Kerberos были украдены из W2012R2-000106-Server в W2012R2-000051-Server и использовались для доступа к domain1.test.local\host. externalId=2018 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b458ca1ec1250caf5b7
Действие Kerberos Golden Ticket
12-12-2018 19:53:26 Auth.Error 192.168.0.222 1 2018-12-12T17:53:26.869091+00:00 CENTER ATA 4688 GoldenTicketSuspiciousActivity « ̄ ̄ cyCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|GoldenTicketSuspiciousActivity|Действие Kerberos Golden Ticket|10|start=2018-12-13T06:51:26.7290524Z app=Kerberos suser=Sonja Chadsey msg=Подозрительное использование билета Sonja Чадси (инженер по программному обеспечению), указывающее на потенциальную атаку Golden Ticket, обнаружен. externalId=2022 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b168ca1ec1250caf556
Запрос на защиту вредоносных данных
12-12-2018 20:03:49 Auth.Error 192.168.0.222 1 2018-12-12T18:03:49.814620+00:00 CENTER ATA 4688 RetrieveDataProtectionBackupKeyS̄ ̄ ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|RetrieveDataProtectionBackupKeySuspiciousActivity|Запрос на защиту вредоносных данных|10|start=2018-12-12T17:58:56.353753Z app=LsaRpc shost=W2012R2-000000-Server msg=Неизвестный пользователь выполнил 1 успешную попытку от W2012R2-0000000-Server для получения ключа резервного копирования домена DPAPI из DC1. externalId=2020 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114d858ca1ec1250caf983
Вредоносное реплика служб каталогов
12-12-2018 19:56:49 Auth.Error 192.168.0.222 1 2018-12-12T17:56:49.312648+00:00 CENTER ATA 4688 DirectoryServicesReplicationSusp̄ ̄ fxCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|DirectoryServicesReplicationSuspiciousActivity|Вредоносные реплика службы каталогов|10|start=2018-12-12T17:52:34.3287329Z app=drsr shost=W2012R2-000000-Server msg=Вредоносные реплика tion запросы были успешно выполнены из W2012R2-0000000-Server в DC1. outcome=Success externalId=2006 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114be18ca1ec1250caf6b8
Эскалация привилегий с использованием данных авторизации forged
12-12-2018 19:51:15 Auth.Error 192.168.0.222 1 2018-12-12T17:51:15.658608+00:00 CENTER ATA 4688 ForgedPacSuspiciousActivity « ̄ ̄ fxCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|ForgedPacSuspiciousActivity|Повышение привилегий с помощью данных авторизации forged|10|start=2018-12-12T17:51:15.0261128Z app=Kerberos suser=triservice msg=triservice попыталось повысить привилегии для DC1 с W2012R2-000000-server с помощью данных авторизации. externalId=2013 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a938ca1ec1250ca7f48
Разведка с помощью запросов служб каталогов
12-12-2018 20:23:52 Auth.Warning 192.168.0.222 1 2018-12-12T18:23:52.155531+00 CENTER ATA 4688 SamrReconnaissanceSuspiciousActī ̄ CYF:0|Корпорация Майкрософт |ATA|1.9.0.0|SamrReconnaissanceSuspiciousActivity|Разведка с помощью запросов служб каталогов|5|start=2018-12-12T18:04:12.986815Z app=Samr shost=W2012R2-00000 Msg=Следующие запросы служб каталогов с использованием протокола SAMR были предприняты с помощью протокола DC1 из W2012R2-000000-Server:\r\nSuccessful query about Incoming Forest Trust Builders (Члены этой группы могут создавать входящие данные, одностороннее доверие к этому лесу) в domain1.test.local externalId=2021 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114e758ca1ec1250cafb2e
Рекогносцировка путем перечисления учетных записей
1 2018-12-12T16:57:09.661680+00 CENTER ATA 4688 AccountEnumerationSuspiciousActi CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|AccountEnumerationSuspiciousActivity|Разведка с помощью перечисления учетных записей|5|start=2018-12-12T16:57:09.1706828Z app=kerberos shost=W2012R2-000000-Server msg=Подозрительные действия перечисления учетных записей с помощью протокола Kerberos, полученного от W2012R2-0000000-Server, обнаружена. Злоумышленник выполнил в общей сложности 100 попыток угадывать имена учетных записей, 1 угадывание соответствовало существующим именам учетных записей в Active Directory. externalId=2003 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113de58ca1ec1250ca06d8
Рекогносцировка с использованием DNS
1 2018-12-12T16:57:20.743634+00:00 CENTER ATA 4688 DnsReconnaissanceSuspiciousActiv CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|DnsReconnaissanceSuspiciousActivity|Рекогносцировка с помощью DNS|5|start=2018-12-12T16:57:20.2556472Z app=dns shost=W2012R2-000000-Server msg=Подозрительные DNS-действия наблюдались, исходя из W2012R2-0000000-server (который не dns-сервер) против DC1. externalId=2007 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113df08ca1ec1250ca074c
Разведка с помощью перечисления сеансов S МБ
12-12-2018 19:50:51 Auth.Warning 192.168.0.222 1 2018-12-12T17:50:51.090247+00:00 CENTER ATA 4688 EnumerateSessionsSuspiciousActiv « ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|ПеречислениеSessionsSuspiciousActivity|Разведка с помощью перечисления сеансов S МБ|5|start=2018-12-12T17:00:42.723229Z app=SrvSvc shost=W2012R2-000000-Server msg=S МБ попытка перечисления сеансов завершилась ошибкой из W2012R2-000000-Server в DC1. Учетные записи не были предоставлены. externalId=2012 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114a788ca1ec1250ca7735
Обнаружение попытки удаленного выполнения
12-12-2018 19:58:45 Auth.Warning 192.168.0.222 1 2018-12-12T17:58:45.082799+00:00 CENTER ATA 4688 RemoteExecutionSuspiciousActivit̄ ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|RemoteExecutionSuspiciousActivity|Обнаружена попытка удаленного выполнения|5|start=2018-12-12T17:54:23.9523766Z shost=W2012R2-00000-Server msg=Следующие попытки удаленного выполнения были выполнены в DC1 из W2012R2-0000000-Server:\r\nFailed удаленного планирования одной или нескольких задач. externalId=2019 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114c548ca1ec1250caf783
Нестандартная реализация протокола
1 2018-12-12T16:50:46.930234+00:00 CENTER ATA 4688 AbnormalProtocolSuspiciousActivi CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|AbnormalProtocolSuspiciousActivity|Необычная реализация протокола|5|start=2018-12-12T16:48:46.6480337Z app=ntlm shost=W2012R2-000000-Server результат=Success msg=triservice успешно прошел проверку подлинности из W2012R2-0000000-Server в DC1 с помощью необычной реализации протокола. Это может быть результатом вредоносных средств, используемых для выполнения атак, таких как pass-the-Hash и метод подбора. externalId=2002 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c668ca1ec1250ca0397
Подозрение на кражу удостоверений на основе аномального поведения
1 2018-12-12T16:50:35.746877+00:00 CENTER ATA 4688 AbnormalBehaviorSuspiciousActivi CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|AbnormalBehaviorSuspiciousActivity|Подозрение на кражу удостоверений на основе ненормального поведения|5|start=2018-12T16:48:35.5501183Z app=Kerberos suser=USR45964 msg=USR45964 LAST45964 отображалось ненормальное поведение при выполнении действий, которые не были замечены в прошлом месяце и также не соответствуют действиям других учетных записей в организации. Аномальное поведение основано на следующих действиях:\r\nPerformed интерактивное имя входа с 30 ненормальных рабочих станций.\r\nRequested доступ к 30 ненормальным ресурсам. externalId=2001 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113c5b8ca1ec1250ca0355
Подозрительные ошибки проверки подлинности
12-12-2018 19:50:34 Auth.Warning 192.168.0.222 1 2018-12-12T17:04:25.214067+00:00 CENTER ATA 4688 BruteForceSuspiciousActivity « ̄ ̄ CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|BruteForceSuspiciousActivity|Подозрительные ошибки проверки подлинности|5|start=2018-12-12T17:03:58.5892462Z app=kerberos shost=W2012R2-000106-Server msg=Подозрительные сбои проверки подлинности, указывающие на потенциальную атаку методом подбора, обнаружена из W2012R2-000106-Server. externalId=2023 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113f988ca1ec1250ca5810
Создание подозрительной службы
12-12-2018 19:53:49 Auth.Warning 192.168.0.222 1 2018-12-12T17:53:49.913034+00:00 CENTER ATA 46888 MaliciousServiceCreationSuspicio driver ̄ ̄ fxCEF:0|Корпорация Майкрософт |ATA|1.9.0.0|MaliciousServiceCreationSuspiciousActivity|Подозрительное создание службы|5|start=2018-12-12T19:53:49.000000Z app=ServiceInstalledEvent shost=W2012R2-000000-Server msg=triservice создал FakeService для выполнения потенциально вредоносных команд на сервере W2012R2-0000000-Server. externalId=2026 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114b2d8ca1ec1250caf577
Оповещения о работоспособности
GatewayDisconnectedMonitoringAlert
1 2018-12-12T16:52:41.520759+00:00 CENTER ATA 4688 GatewayDisconnectedMonitoringAle CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|GatewayDisconnectedMonitoringAlert|GatewayDisconnectedMonitoringAlert|5|externalId=1011 cs1Label=url cs1=https://192.168.0.220/monitoring msg=Там не было связи из центра шлюза в течение 5 минут. Последнее сообщение было 12.12.2018 4:47:03 UTC.
GatewayStartFailureMonitoringAlert
1 2018-12-12T15:36:59.701097+00:00 CENTER ATA 1372 GatewayStartFailureMonitoringAle CEF:0|Корпорация Майкрософт |ATA|1.9.0.0|GatewayStartFailureMonitoringAlert|GatewayStartFailureMonitoringAlert|5|externalId=1018 cs1Label=url cs1=https://192.168.0.220/monitoring msg=The Gateway service on DC1 не удалось запустить. Последнее время было видно, как работает 12.12.2018 3:04:12 UTC.
Примечание.
Все оповещения о работоспособности отправляются с тем же шаблоном, что и выше.