Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Установка ATA. Шаг 6Install ATA - Step 6

Шаг 6.Step 6. Настройка сбора данных о событияхConfigure event collection

Настройка сбора данных о событияхConfigure Event Collection

Чтобы улучшить возможности обнаружения вторжений, ATA требуется доступ к следующим событиям Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Они могут считываться автоматически упрощенным шлюзом ATA либо, если упрощенный шлюз ATA не развернут, передаваться в шлюз ATA одним из двух способов: путем настройки прослушивания событий SIEM в шлюзе ATA или пересылки событий Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

Примечание

В версии ATA 1.8 и более поздних настройка сбора событий для упрощенных шлюзов ATA больше не требуется.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. Упрощенный шлюз ATA теперь может считывать события локально — настраивать переадресацию событий не требуется.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.

Помимо сбора и анализа входящего и исходящего сетевого трафика с контроллеров домена, ATA может использовать события Windows для улучшенного обнаружения.In addition to collecting and analyzing network traffic to and from the domain controllers, ATA can use Windows events to further enhance detections. Событие 4776 улучшает обнаружение различных атак при использовании NTLM, а события 4732, 4733, 4728, 4729, 4756 и 4757 улучшают обнаружение изменения привилегированных групп.It uses event 4776 for NTLM which enhances various detections and events 4732, 4733, 4728, 4729, 4756, and 4757 for enhancing detection of sensitive group modifications. Оно может быть получено от вашего SIEM или в случае настройки переадресации событий Windows на вашем контроллере домена.This can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. Собранные события предоставляют ATA дополнительные данные, которые невозможно получить через сетевой трафик контроллера домена.Events collected provide ATA with additional information that is not available via the domain controller network traffic.

Система SIEM/системный журналSIEM/Syslog

Для обработки ATA данных с сервера системного журнала необходимо выполнить следующие действия:For ATA to be able to consume data from a Syslog server, you need to do the following:

  • Выполните настройку серверов шлюза ATA на прослушивание и прием событий, перенаправляемых с сервера SIEM или системного журнала.Configure your ATA Gateway servers to listen to and accept events forwarded from the SIEM/Syslog server. > [!NOTE] > ATA прослушивает только IPv4, но не IPv6.ATA only listens on IPv4 and not IPv6.
  • Выполните настройку сервера SIEM или системного журнала на пересылку определенных событий на шлюз ATA.Configure your SIEM/Syslog server to forward specific events to the ATA Gateway.
Важно!
  • Не выполняйте пересылку всех данных системного журнала на шлюз ATA.Do not forward all the Syslog data to the ATA Gateway.
  • ATA поддерживает трафик UDP с сервера SIEM или системного журнала.ATA supports UDP traffic from the SIEM/Syslog server.

Подробности о настройке пересылки событий на другой сервер см. в документации по серверу SIEM или системному журналу.Refer to your SIEM/Syslog server's product documentation for information on how to configure forwarding of specific events to another server.

Примечание

Если сервер SIEM или системный журнал отсутствуют, настройку контроллеров домена Windows можно выполнить таким образом, чтобы АТА выполнял сбор и анализ событий 4776 с журнала событий Windows.If you do not use a SIEM/Syslog server, you can configure your Windows domain controllers to forward Windows Event ID 4776 to be collected and analyzed by ATA. События 4776 с журнала событий Windows содержат информацию о проверках подлинности NTLM.Windows Event ID 4776 provides data regarding NTLM authentications.

Настройка прослушивания событий SIEM в шлюзе ATAConfiguring the ATA Gateway to listen for SIEM events

  1. В разделе настройки ATA на вкладке Источники данных щелкните SIEM, включите Системный журнал и нажмите кнопку Сохранить.In ATA Configuration, under Data sources click SIEM and turn on Syslog and click Save.

    Разрешите использование образа UDP для прослушивания системного журнала

  2. Выполните настройку сервера SIEM или системного журнала таким образом, чтобы события с идентификатором 4776 от журнала событий Windows направлялись на один из шлюзов ATA.Configure your SIEM or Syslog server to forward Windows Event ID 4776 to the IP address of one of the ATA Gateways. Дополнительные сведения о настройке SIEM — см. справку в Интернете; об особых требованиях к форматированию каждого SIEM сервера — см. варианты технической поддержки.For additional information on configuring your SIEM, refer to your SIEM online help or technical support options for specific formatting requirements for each SIEM server.

ATA поддерживает события SIEM в следующих форматах:ATA supports SIEM events in the following formats:

Аналитика безопасности RSARSA Security Analytics

<Заголовок системного журнала>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • Заголовок системного журнала необязателен.Syslog header is optional.

  • Между всеми полями должен стоять символ-разделитель "\n".“\n” character separator is required between all fields.

  • Поля в порядке очередности:The fields, in order, are:

    1. Постоянное значение RsaSA (должно появиться).RsaSA constant (must appear).

    2. Метка времени фактического события (необходимо убедиться в том, что это значение не является меткой времени поступления на SIEM или отправки на ATA).The timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Важно! Значение желательно представлять в миллисекундах.Preferably in milliseconds accuracy, this is very important.

    3. Код события WindowsThe Windows event ID

    4. Имя поставщика событий WindowsThe Windows event provider name

    5. Имя журнала событий WindowsThe Windows event log name

    6. Имя компьютера, получающего событие (в данном случае контроллера домена)The name of the computer receiving the event (the DC in this case)

    7. Имя пользователя, подлинность которого проверяетсяThe name of the user authenticating

    8. Имя исходного узлаThe name of the source host name

    9. Код результата NTLMThe result code of the NTLM

  • Поскольку порядок важен, в сообщении не должно быть ничего другого.The order is important and nothing else should be included in the message.

HP ArcsightHP Arcsight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Контроллер домена попытался проверить учетные данные для учетной записи.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error CodeCEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • Должно соответствовать определению протокола.Must comply with the protocol definition.

  • Отсутствует заголовок системного журнала.No syslog header.

  • Заголовок определения (часть, разделенная вертикальной линией) должен существовать (как указано в протоколе).The header part (the part that’s separated by a pipe) must exist (as stated in the protocol).

  • В расширении должны присутствовать следующие ключи:The following keys in the Extension part must be present in the event:

    • externalId = код события WindowsexternalId = the Windows event ID

    • rt = метка времени фактического события (необходимо убедиться в том, что это значение не является меткой времени поступления на SIEM или отправки нам).rt = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to us). Важно! Значение желательно представлять в миллисекундах.Preferably in milliseconds accuracy, this is very important.

    • cat = имя журнала событий Windowscat = the Windows event log name

    • shost = имя исходного узлаshost = the source host name

    • dhost = имя компьютера, получающего событие (в данном случае контроллера домена)dhost = the computer receiving the event (the DC in this case)

    • duser = имя пользователя, подлинность которого проверяетсяduser = the user authenticating

  • Для расширения порядок представления неваженThe order is not important for the Extension part

  • Для следующих двух полей следует назначить отдельный ключ и метку ключа:There must be a custom key and keyLable for these two fields:

    • "EventSource"“EventSource”

    • "Reason or Error Code" = код результата NTLM“Reason or Error Code” = The result code of the NTLM

SplunkSplunk

<Заголовок системного журнала>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

Компьютер попытался проверить учетные данные для учетной записи.The computer attempted to validate the credentials for an account.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Учетная запись входа: администраторLogon Account: Administrator

Исходная рабочая станция: SIEMSource Workstation: SIEM

Код ошибки: 0x0Error Code: 0x0

  • Заголовок системного журнала необязателен.Syslog header is optional.

  • Между всеми обязательными полями стоит символ-разделитель "\r\n".There’s a “\r\n” character separator between all required fields.

  • Поля имеют формат ключ = значение.The fields are in key=value format.

  • Наличие следующих ключей и их значений обязательно:The following keys must exists and have a value:

    • EventCode = код события WindowsEventCode = the Windows event ID

    • Logfile = имя журнала событий WindowsLogfile = the Windows event log name

    • SourceName = имя поставщика событий WindowsSourceName = The Windows event provider name

    • TimeGenerated = метка времени фактического события (необходимо убедиться в том, что это значение не является меткой времени поступления на SIEM или отправки на ATA).TimeGenerated = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Важно! Значение должно быть представлено в формате yyyyMMddHHmmss.FFFFFF, желательно в миллисекундах.The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is very important.

    • ComputerName = имя исходного узлаComputerName = the source host name

    • Message = исходный текст события WindowsMessage = the original event text from the Windows event

  • Ключ сообщения и его значение должны быть в конце.The Message Key and value MUST be last.

  • Для пар ключ=значение порядок представления неважен.The order is not important for the key=value pairs.

QRadarQRadar

QRadar активирует сбор данных о событиях через агента.QRadar enables event collection via an agent. Если сбор данных происходит с помощью агента, то формат времени представляется без указания миллисекунд.If the data is gathered using an agent, the time format is gathered without millisecond data. Так как ATA требуются данные о миллисекундах, необходимо настроить в QRadar сбор данных о событиях Windows без агента.Because ATA necessitates millisecond data, it is necessary to set QRadar to use agentless Windows event collection. Дополнительные сведения см. в статье QRadar: Agentless Windows Events Collection using the MSRPC Protocol (QRadar: сбор данных о событиях Windows без агента с помощью протокола MSRPC) (http://www-01.ibm.com/support/docview.wss?uid=swg21700170For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21700170.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Необходимо задать следующие сведения в полях:The fields needed are:

  • тип агента для сбора данных;The agent type for the collection
  • имя поставщика журнала событий Windows;The Windows event log provider name
  • источник журнала событий Windows;The Windows event log source
  • полное доменное имя контроллера домена;The DC fully qualified domain name
  • код события Windows.The Windows event ID

TimeGenerated — это метка времени фактического события (необходимо убедиться в том, что это значение не является меткой времени поступления на SIEM или отправки на ATA).TimeGenerated is the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Значение должно быть представлено в формате yyyyMMddHHmmss.FFFFFF, желательно в миллисекундах.The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is very important.

Message — это исходный текст события Windows.Message is the original event text from the Windows event

Между парами "ключ-значение" должен быть разделитель \t.Make sure to have \t between the key=value pairs.

Примечание

Использование WinCollect для сбора данных о событиях Windows не поддерживается.Using WinCollect for Windows event collection is not supported.

См. такжеSee Also