Condividi tramite

Ascoltare gli eventi SIEM nel sensore autonomo di Defender per identità

  • Articolo

Questo articolo descrive la sintassi dei messaggi necessaria durante la configurazione di un sensore autonomo defender per identità per l'ascolto dei tipi di evento SIEM supportati. L'ascolto degli eventi SIEM è un metodo per migliorare le funzionalità di rilevamento con eventi Windows aggiuntivi non disponibili dalla rete del controller di dominio.

Per altre informazioni, vedere Panoramica della raccolta di eventi di Windows.

Importante

I sensori autonomi di Defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.

Analisi della sicurezza RSA

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi di Analisi della sicurezza RSA:

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

In questa sintassi:

  • L'intestazione syslog è facoltativa.

  • Il \n separatore di caratteri è obbligatorio tra tutti i campi.

  • I campi, in ordine, sono:

    1. (Obbligatorio) Costante RsaSA
    2. Timestamp dell'evento effettivo. Assicurarsi che non sia il timestamp dell'arrivo al SIEM o quando viene inviato a Defender per identità. È consigliabile usare un'accuratezza di millisecondi.
    3. ID evento di Windows
    4. Nome del provider di eventi di Windows
    5. Nome del registro eventi di Windows
    6. Nome del computer che riceve l'evento, ad esempio il controller di dominio
    7. Nome dell'utente che esegue l'autenticazione
    8. Nome del nome host di origine
    9. Codice del risultato di NTLM

Importante

L'ordine dei campi è importante e nessun altro elemento deve essere incluso nel messaggio.

MicroFocus ArcSight

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi ArcSight di MicroFocus:

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

In questa sintassi:

  • Il messaggio deve essere conforme alla definizione del protocollo.

  • Non è inclusa alcuna intestazione syslog.

  • La parte dell'intestazione, separata da una pipe (|), deve essere inclusa, come indicato nel protocollo

  • Nell'evento devono essere presenti le chiavi seguenti nella parte Extension :

    Chiave Descrizione
    externalId ID evento di Windows
    Rt Timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al SIEM o quando viene inviato a Defender per identità. Assicurarsi anche di usare un'accuratezza di millisecondi.
    gatto Nome del registro eventi di Windows
    shost Nome host di origine
    dhost Il computer che riceve l'evento, ad esempio il controller di dominio
    duser L'utente che esegue l'autenticazione

    L'ordine non è importante per la parte estensione .

  • È necessario disporre di una chiave personalizzata e keyLable per i campi seguenti:

    • EventSource
    • Reason or Error Code = Codice del risultato di NTLM

Splunk

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi Splunk:

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

In questa sintassi:

  • L'intestazione syslog è facoltativa.

  • Esiste un \r\n separatore di caratteri tra tutti i campi obbligatori. Si tratta CRLF di caratteri di controllo , (0D0A in esadecimale) e non di caratteri letterali.

  • I campi sono in key=value formato.

  • Le chiavi seguenti devono esistere e avere un valore:

    Nome Descrizione
    EventCode ID evento di Windows
    File di log Nome del registro eventi di Windows
    NomeOrigine Nome del provider di eventi di Windows
    TimeGenerated Timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al SIEM o quando viene inviato a Defender per identità. Il formato del timestamp deve essere The format should match yyyyMMddHHmmss.FFFFFFed è necessario usare un'accuratezza di millisecondi.
    ComputerName Nome host di origine
    Messaggio Testo dell'evento originale dell'evento Windows

  • La chiave e il valore del messaggio devono essere ultimi.

  • L'ordine non è importante per le coppie chiave=valore.

Viene visualizzato un messaggio simile al seguente:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon Account: Administrator

Source Workstation: SIEM

Error Code: 0x0

QRadar

QRadar abilita la raccolta di eventi tramite un agente. Se i dati vengono raccolti usando un agente, il formato ora viene raccolto senza dati in millisecondi.

Poiché Defender for Identity richiede dati in millisecondi, è necessario innanzitutto configurare QRadar per usare la raccolta di eventi di Windows senza agente. Per altre informazioni, vedere QRadar: Agentless Windows Events Collection using the MSRPC Protocol .SEE QRadar: Agentless Windows Events Collection using the MSRPC Protocol.For more information, see QRadar: Agentless Windows Events Collection using the MSRPC Protocol.

Usare la sintassi del messaggio seguente per configurare il sensore autonomo per l'ascolto degli eventi QRadar:

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

In questa sintassi è necessario includere i campi seguenti:

  • Tipo di agente per la raccolta
  • Nome del provider del log eventi di Windows
  • Origine del log eventi di Windows
  • Nome di dominio completo del controller di dominio
  • ID evento di Windows
  • TimeGenerated, ovvero il timestamp dell'evento effettivo. Assicurarsi che il valore non sia il timestamp dell'arrivo al SIEM o quando viene inviato a Defender per identità. Il formato del timestamp deve essere The format should match yyyyMMddHHmmss.FFFFFFe deve avere un'accuratezza di millisecondi.

Assicurarsi che il messaggio includa il testo dell'evento originale dell'evento Windows e che sia compreso \t tra le coppie chiave=valore.

Nota

L'uso di WinCollect per la raccolta di eventi di Windows non è supportato.

Contenuto correlato

Per altre informazioni, vedere: