Compartir a través de

Escucha eventos SIEM en el sensor independiente de Defender for Identity

  • Artículo

En este artículo se describe la sintaxis de mensajes necesaria al configurar un sensor independiente de Defender for Identity para escuchar los tipos de eventos SIEM admitidos. La escucha de eventos SIEM es un método para mejorar las capacidades de detección con eventos adicionales de Windows que no están disponibles en la red del controlador de dominio.

Para obtener más información, consulte Introducción a la recopilación de eventos de Windows.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa del entorno, se recomienda implementar el sensor de Defender for Identity.

Análisis de seguridad rsa

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de RSA Security Analytics:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

En esta sintaxis:

  • El encabezado syslog es opcional.

  • El \n separador de caracteres es necesario entre todos los campos.

  • Los campos, en orden, son:

    1. (Obligatorio) RsaSA (constante)
    2. Marca de tiempo del evento real. Asegúrese de que no es la marca de tiempo de la llegada al SIEM o cuando se envía a Defender for Identity. Se recomienda usar una precisión de milisegundos.
    3. Identificador de evento de Windows
    4. Nombre del proveedor de eventos de Windows
    5. Nombre del registro de eventos de Windows
    6. Nombre del equipo que recibe el evento, como el controlador de dominio.
    7. Nombre de la autenticación del usuario
    8. Nombre del host de origen
    9. El código de resultado de NTLM

Importante

El orden de los campos es importante y no se debe incluir nada más en el mensaje.

MicroFocus ArcSight

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de MicroFocus ArcSight:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

En esta sintaxis:

  • El mensaje debe cumplir con la definición del protocolo.

  • No se incluye ningún encabezado syslog.

  • La parte de encabezado, separada por una canalización (|) debe incluirse, como se indica en el protocolo

  • Las claves siguientes de la parte Extensión deben estar presentes en el evento:

    Clave Descripción
    externalId Identificador de evento de Windows
    Rt Marca de tiempo del evento real. Asegúrese de que el valor no es la marca de tiempo de la llegada al SIEM o cuando se envía a Defender for Identity. Asegúrese también de usar una precisión de milisegundos.
    gato Nombre del registro de eventos de Windows
    shost Nombre de host de origen
    dhost Equipo que recibe el evento, como el controlador de dominio
    duser Autenticación del usuario

    El orden no es importante para la parte Extensión .

  • Debe tener una clave personalizada y keyLable para los campos siguientes:

    • EventSource
    • Reason or Error Code = El código de resultado de NTLM

Splunk

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para escuchar eventos de Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

En esta sintaxis:

  • El encabezado syslog es opcional.

  • Hay un \r\n separador de caracteres entre todos los campos necesarios. Estos son CRLF caracteres de control, (0D0A en hexadecimal) y no caracteres literales.

  • Los campos están en key=value formato.

  • Las claves siguientes deben existir y tener un valor:

    Nombre Descripción
    EventCode Identificador de evento de Windows
    Archivo de registro Nombre del registro de eventos de Windows
    SourceName Nombre del proveedor de eventos de Windows
    TimeGenerated Marca de tiempo del evento real. Asegúrese de que el valor no es la marca de tiempo de la llegada al SIEM o cuando se envía a Defender for Identity. El formato de marca de tiempo debe ser The format should match yyyyMMddHHmmss.FFFFFFy debe usar una precisión de milisegundos.
    NombreDeEquipo Nombre de host de origen
    Message Texto del evento original del evento de Windows

  • La clave de mensaje y el valor deben ser últimos.

  • El orden no es importante para los pares key=value.

Aparece un mensaje similar al siguiente:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar habilita la recopilación de eventos a través de un agente. Si los datos se recopilan mediante un agente, el formato de hora se recopila sin datos de milisegundos.

Dado que Defender for Identity necesita datos en milisegundos, primero debe configurar QRadar para usar la colección de eventos de Windows sin agente. Para obtener más información, vea QRadar: Colección de eventos de Windows sin agente mediante el protocolo MSRPC.

Use la siguiente sintaxis de mensaje para configurar el sensor independiente para que escuche los eventos de QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

En esta sintaxis, debe incluir los campos siguientes:

  • Tipo de agente para la colección
  • Nombre del proveedor del registro de eventos de Windows
  • Origen del registro de eventos de Windows
  • Nombre de dominio completo del controlador de dominio
  • Identificador de evento de Windows
  • TimeGenerated, que es la marca de tiempo del evento real. Asegúrese de que el valor no es la marca de tiempo de la llegada al SIEM o cuando se envía a Defender for Identity. El formato de marca de tiempo debe ser The format should match yyyyMMddHHmmss.FFFFFFy debe tener una precisión de milisegundos.

Asegúrese de que el mensaje incluye el texto del evento original del evento de Windows y de que tiene \t entre los pares key=value.

Nota:

No se admite el uso de WinCollect para la colección de eventos de Windows.

Contenido relacionado

Para más información, vea: