在適用於身分識別的 Defender 獨立感測器上接聽 SIEM 事件

  • 發行項

本文說明設定適用於身分識別的 Defender 獨立感測器以接聽支援的 SIEM 事件類型時所需的訊息語法。 接聽 SIEM 事件是一種方法,可透過無法從域控制器網路取得的額外 Windows 事件來增強偵測能力。

如需詳細資訊,請參閱 Windows 事件集合概觀

重要

適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,這些記錄專案會提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。

RSA 安全性分析

使用下列訊息語法來設定獨立感測器以接聽 RSA 安全性分析事件:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

在此語法中:

  • syslog 標頭是選擇性的。

  • \n所有欄位之間都需要字元分隔符。

  • 依序排列的欄位為:

    1. (必要)RsaSA 常數
    2. 實際事件的時間戳。 請確定它不是抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 時。 強烈建議使用毫秒的精確度。
    3. Windows 事件標識碼
    4. Windows 事件提供者名稱
    5. Windows 事件記錄檔名稱
    6. 接收事件的計算機名稱,例如域控制器
    7. 驗證用戶的名稱
    8. 來源主機名的名稱
    9. NTLM 的結果碼

重要

欄位的順序很重要,而且訊息中不應包含其他任何欄位。

MicroFocus ArcSight

使用下列訊息語法來設定獨立感測器以接聽 MicroFocus ArcSight 事件:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

在此語法中:

  • 您的訊息必須符合通訊協議定義。

  • 未包含 syslog 標頭。

  • 標頭部分,以 管道 分隔| () 必須包含,如通訊協定中所述

  • 擴充功能元件中的下列索引鍵必須存在於 事件中:

    Key 描述
    externalId Windows 事件標識碼
    Rt 實際事件的時間戳。 請確定值不是抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 時。 也請務必使用毫秒的精確度。
    cat Windows 事件記錄檔名稱
    shost 來源主機名
    dhost 接收事件的計算機,例如域控制器
    duser 用戶驗證

    延伸模組元件的順序並不重要

  • 您必須具有下列欄位的自訂金鑰和 keyLable

    • EventSource
    • Reason or Error Code = NTLM 的結果碼

Splunk

使用下列訊息語法來設定獨立感測器以接聽 Splunk 事件:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

在此語法中:

  • syslog 標頭是選擇性的。

  • 所有必要的欄位之間有 \r\n 字元分隔符。 這些是 CRLF 控制字元(0D0A 十六進位),而不是常值字元。

  • 欄位格式為 key=value

  • 下列索引鍵必須存在且具有值:

    名稱 描述
    EventCode Windows 事件標識碼
    Logfile Windows 事件記錄檔名稱
    SourceName Windows 事件提供者名稱
    TimeGenerated 實際事件的時間戳。 請確定值不是抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 時。 時間戳格式必須是 The format should match yyyyMMddHHmmss.FFFFFF,而且您必須使用毫秒的精確度。
    ComputerName 來源主機名
    訊息 Windows 事件的原始事件文字

  • 訊息 索引鍵 和值必須是最後一個。

  • 索引鍵=值組的順序並不重要。

如下所示的訊息隨即出現:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar 會透過代理程式啟用事件收集。 如果使用代理程式收集數據,則會收集時間格式而不需毫秒數據。

由於適用於身分識別的 Defender 需要毫秒數據,因此您必須先將 QRadar 設定為使用無代理程式 Windows 事件集合。 如需詳細資訊,請參閱 QRadar:使用 MSRPC 通訊協定的無代理程式 Windows 事件集合。

使用下列訊息語法來設定獨立感測器以接聽 QRadar 事件:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

在此語法中,您必須包含下列欄位:

  • 集合的代理程序類型
  • Windows 事件記錄提供者名稱
  • Windows 事件記錄檔來源
  • DC 完整功能變數名稱
  • Windows 事件標識碼
  • TimeGenerated,這是實際事件的時間戳。 請確定值不是抵達 SIEM 的時間戳,或傳送至適用於身分識別的 Defender 時。 時間戳格式必須是 The format should match yyyyMMddHHmmss.FFFFFF,而且必須精確度為毫秒。

請確定訊息包含來自 Windows 事件的原始事件文字,而且您在 key=value 配對之間有 \t

注意

不支援使用 WinCollect 進行 Windows 事件集合。

相關內容

如需詳細資訊,請參閱