Lyssna efter SIEM-händelser på din fristående Defender for Identity-sensor

  • Artikel

I den här artikeln beskrivs den meddelandesyntax som krävs när du konfigurerar en fristående Defender for Identity-sensor för att lyssna efter SIEM-händelsetyper som stöds. Att lyssna efter SIEM-händelser är en metod för att förbättra dina identifieringsfunktioner med extra Windows-händelser som inte är tillgängliga från domänkontrollantnätverket.

Mer information finns i Översikt över Windows-händelsesamling.

Viktigt!

Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.

RSA-säkerhetsanalys

Använd följande meddelandesyntax för att konfigurera din fristående sensor för att lyssna efter RSA Security Analytics-händelser:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

I denna syntax:

  • Syslog-huvudet är valfritt.

  • Teckenavgränsaren \n krävs mellan alla fält.

  • Fälten i ordning är:

    1. (Krävs) RsaSA-konstant
    2. Tidsstämpeln för den faktiska händelsen. Kontrollera att det inte är tidsstämpeln för ankomst till SIEM eller när den skickas till Defender för identitet. Vi rekommenderar starkt att du använder en noggrannhet av millisekunder.
    3. Händelse-ID för Windows
    4. Namnet på Windows-händelseprovidern
    5. Windows-händelseloggens namn
    6. Namnet på den dator som tar emot händelsen, till exempel domänkontrollanten
    7. Namnet på användaren som autentiserar
    8. Namnet på källvärdnamnet
    9. Resultatkoden för NTLM

Viktigt!

Ordningen på fälten är viktig och inget annat ska tas med i meddelandet.

MicroFocus ArcSight

Använd följande meddelandesyntax för att konfigurera din fristående sensor för att lyssna efter MicroFocus ArcSight-händelser:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

I denna syntax:

  • Meddelandet måste följa protokolldefinitionen.

  • Inget syslog-huvud ingår.

  • Huvuddelen, avgränsad med ett rör (|) måste inkluderas, enligt protokollet

  • Följande nycklar i tilläggsdelen måste finnas i händelsen:

    Nyckel beskrivning
    externalId Händelse-ID för Windows
    Rt Tidsstämpeln för den faktiska händelsen. Kontrollera att värdet inte är tidsstämpeln för ankomst till SIEM eller när det skickas till Defender för identitet. Se också till att använda en noggrannhet av millisekunder.
    Katt Windows-händelseloggens namn
    shost Källvärdnamnet
    dhost Den dator som tar emot händelsen, till exempel domänkontrollanten
    duser Användaren autentiserar

    Ordningen är inte viktig för tilläggsdelen.

  • Du måste ha en anpassad nyckel och keyLable för följande fält:

    • EventSource
    • Reason or Error Code = Resultatkoden för NTLM

Splunk

Använd följande meddelandesyntax för att konfigurera din fristående sensor för att lyssna efter Splunk-händelser:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

I denna syntax:

  • Syslog-huvudet är valfritt.

  • Det finns en \r\n teckenavgränsare mellan alla obligatoriska fält. Det här är CRLF kontrolltecken, (0D0A i hex) och inte literaltecken.

  • Fälten är i key=value format.

  • Följande nycklar måste finnas och ha ett värde:

    Name beskrivning
    EventCode Händelse-ID för Windows
    Loggfil Windows-händelseloggens namn
    SourceName Namnet på Windows-händelseprovidern
    TimeGenerated Tidsstämpeln för den faktiska händelsen. Kontrollera att värdet inte är tidsstämpeln för ankomst till SIEM eller när det skickas till Defender för identitet. Tidsstämpelformatet måste vara The format should match yyyyMMddHHmmss.FFFFFF, och du måste använda en noggrannhet på millisekunder.
    ComputerName Källvärdnamnet
    Meddelande Den ursprungliga händelsetexten från Windows-händelsen

  • Meddelandenyckeln och värdet måste vara sist.

  • Ordningen är inte viktig för key=value-paren.

Ett meddelande som liknar följande visas:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar aktiverar händelseinsamling via en agent. Om data samlas in med hjälp av en agent samlas tidsformatet in utan millisekunders data.

Eftersom Defender för identitet behöver millisekunders data måste du först konfigurera QRadar för att använda agentlös Windows-händelseinsamling. Mer information finns i QRadar: Agentless Windows Events Collection using the MSRPC Protocol (QRadar: Agentless Windows Events Collection using the MSRPC Protocol).

Använd följande meddelandesyntax för att konfigurera din fristående sensor för att lyssna efter QRadar-händelser:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

I den här syntaxen måste du inkludera följande fält:

  • Agenttypen för samlingen
  • Namnet på Windows-händelseloggprovidern
  • Windows-händelseloggkällan
  • Domänkontrollantens fullständigt kvalificerade domännamn
  • Händelse-ID för Windows
  • TimeGenerated, som är tidsstämpeln för den faktiska händelsen. Kontrollera att värdet inte är tidsstämpeln för ankomst till SIEM eller när det skickas till Defender för identitet. Tidsstämpelformatet måste vara The format should match yyyyMMddHHmmss.FFFFFF, och måste ha en noggrannhet på millisekunder.

Kontrollera att meddelandet innehåller den ursprungliga händelsetexten från Windows-händelsen och att du har \t mellan key=value-paren.

Kommentar

Det går inte att använda WinCollect för Windows-händelsesamling.

Relaterat innehåll

Mer information finns i: