侦听 Defender for Identity 独立传感器上的 SIEM 事件
本文章描述了在配置 Defender for Identity 独立传感器以侦听支持的 SIEM 事件类型时所需的消息语法。 侦听 SIEM 事件是通过域控制器网络中不可用的额外 Windows 事件增强检测能力的一种方法。
有关详细信息,请参阅 Windows事件收集概述。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议部署 Defender for Identity 传感器。
RSA 安全分析
使用以下消息语法将独立传感器配置为侦听 RSA 安全分析事件:
<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0
在此语法中:
syslog 标头是可选的。
所有字段之间都需要
\n字符分隔符。字段(按顺序排列)如下:
- (必需)RsaSA 常数
- 实际事件的时间戳。 请确保它不是到达 SIEM 的时间戳,也不是发送给 Defender for Identity 的时间戳。 我们强烈建议使用毫秒级的准确度。
- Windows 事件 ID
- Windows 事件提供程序的名称
- Windows 事件日志的名称
- 接收事件的计算机的名称,例如域控制器
- 进行身份验证的用户的名称
- 源主机名的名称
- NTLM 的结果代码
重要
字段的顺序很重要,消息中不应包含其他任何内容。
MicroFocus ArcSight
使用以下消息语法将独立传感器配置为侦听 MicroFocus ArcSight 事件:
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code
在此语法中:
你的消息必须符合协议的定义。
不包含 syslog 标头。
如协议中所述,必须包含由管道 (|) 分隔的标头部件
扩展部分中的以下键必须出现在事件中:
密钥 说明 externalId Windows 事件 ID rt 实际事件的时间戳。 请确保该值不是到达 SIEM 的时间戳,也不是发送给 Defender for Identity 的时间戳。 还要确保使用毫秒级的准确度。 cat Windows 事件日志的名称 shost 源主机名 dhost 接收事件的计算机,例如域控制器 duser 进行身份验证的用户 对于扩展部分来说,顺序并不重要。
以下字段必须具有自定义密钥和 keyLable:
EventSourceReason or Error Code= NTLM 的结果代码
Splunk
使用以下消息语法将独立传感器配置为侦听 Splunk 事件:
<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
在此语法中:
syslog 标头是可选的。
所有必填字段之间都有
\r\n字符分隔符。 它们是CRLF控制字符(十六进制中的0D0A),而不是文字字符。字段的格式为
key=value。以下键必须存在且含有值:
名称 描述 EventCode Windows 事件 ID 日志文件 Windows 事件日志的名称 SourceName Windows 事件提供程序的名称 TimeGenerated 实际事件的时间戳。 请确保该值不是到达 SIEM 的时间戳,也不是发送给 Defender for Identity 的时间戳。 时间戳格式必须为 The format should match yyyyMMddHHmmss.FFFFFF,并且必须使用毫秒级的准确度。计算机名 源主机名 消息 来自 Windows 事件的原始事件文本 消息键和值必须在最后。
对于键值对来说,顺序并不重要。
将显示类似于以下内容的消息:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: SIEM
Error Code: 0x0
QRadar
QRadar 支持通过代理收集事件。 如果使用代理收集数据,则收集的时间格式不包含毫秒级数据。
由于 Defender for Identity 需要毫秒数据,因此必须首先将 QRadar 配置为使用无代理 Windows 事件集合。 有关详细信息,请参阅 QRadar:使用 MSRPC 协议的无代理 Windows 事件收集。
使用以下消息语法将独立传感器配置为侦听 QRadar 事件:
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
在此语法中,必须包含以下字段:
- 收集的代理类型
- Windows 事件日志提供程序名称
- Windows 事件日志源
- DC 完全限定域名
- Windows 事件 ID
TimeGenerated,即实际事件的时间戳。 请确保该值不是到达 SIEM 的时间戳,也不是发送给 Defender for Identity 的时间戳。 时间戳格式必须为The format should match yyyyMMddHHmmss.FFFFFF,并且准确度必须为毫秒。
请确保消息中包含 Windows 事件的原始事件文本,并且键=值对之间存在 \t。
注意
不支持将 WinCollect 用于 Windows 事件收集。
相关内容
有关详细信息,请参阅: