Installieren von ATA – Schritt 6

Gilt für: Advanced Threat Analytics Version 1.9

Schritt 6: Konfigurieren der Ereignissammlung

Konfigurieren der Ereignissammlung

Zur Verbesserung der Erkennungsfunktionen benötigt ATA die folgenden Windows Ereignisse: 4776, 4732, 4733, 4728, 4729, 4756, 4757 und 7045. Diese Windows Ereignisse werden entweder automatisch vom ATA Lightweight Gateway gelesen, oder wenn das ATA Lightweight Gateway nicht bereitgestellt wird, können sie auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, entweder durch Konfigurieren des ATA-Gateways zum Überwachen von SIEM-Ereignissen oder durch Configuring Windows Event Forwarding.

Neben der Erfassung und Analyse des Netzwerkdatenverkehrs zu und von den Domänencontrollern kann ATA Windows Ereignisse verwenden, um Erkennungen weiter zu verbessern. Es verwendet Ereignis 4776 für NTLM, das verschiedene Erkennungen und Ereignisse 4732, 4733, 4728, 4729, 4756 und 4757 zur Verbesserung der Erkennung sensibler Gruppenänderungen verbessert. Dies kann von Ihrem SIEM oder durch das Festlegen der Windows-Ereignisweiterleitung von Ihrem Domänencontroller erhalten werden. Gesammelte Ereignisse stellen ATA mit zusätzlichen Informationen bereit, die nicht über den Domänencontroller-Netzwerkdatenverkehr verfügbar sind.

SIEM/Syslog

Damit ATA Daten von einem Syslog-Server nutzen kann, müssen Sie die folgenden Schritte ausführen:

• Konfigurieren Sie Ihre ATA-Gatewayserver so, dass Ereignisse, die vom SIEM/Syslog-Server weitergeleitet werden, überwacht und akzeptiert werden.

Informationen zum Konfigurieren der Weiterleitung bestimmter Ereignisse an einen anderen Server finden Sie in der Produktdokumentation Ihres SIEM/Syslog-Servers.

Konfigurieren des ATA-Gateways zum Überwachen von SIEM-Ereignissen

1. Wählen Sie in der ATA-Konfiguration unter DatenquellenSIEM aus, und aktivieren Sie Syslog , und wählen Sie "Speichern" aus.

   

2. Konfigurieren Sie Ihren SIEM- oder Syslog-Server, um Windows Ereignis-ID 4776 an die IP-Adresse eines der ATA-Gateways weiterzuleiten. Weitere Informationen zum Konfigurieren Ihres SIEM finden Sie in ihrer SIEM-Onlinehilfe oder technischen Supportoptionen für bestimmte Formatierungsanforderungen für jeden SIEM-Server.

ATA unterstützt SIEM-Ereignisse in den folgenden Formaten:

RSA Security Analytics

<Syslog Header>RsaSA\n2015-Mai-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

• Der Syslog-Header ist optional.

• "\n" Zeichentrennzeichen ist zwischen allen Feldern erforderlich.

• Die Felder in der Reihenfolge sind:

  1. RsaSA-Konstante (muss angezeigt werden).
  2. Der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es nicht der Zeitstempel der Ankunft in der EM ist oder wenn es an ATA gesendet wird). Möglichst in Millisekundengenauigkeit, ist dies wichtig.
  3. Die Windows-Ereignis-ID
  4. Der Name des Windows Ereignisanbieters
  5. Der Name des Windows Ereignisprotokolls
  6. Der Name des Computers, der das Ereignis empfängt (in diesem Fall dc)
  7. Der Name des Benutzers, der authentifiziert wird
  8. Der Name des Quellhostnamens
  9. Der Ergebniscode der NTLM

• Die Reihenfolge ist wichtig, und nichts anderes sollte in die Nachricht einbezogen werden.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen.|Niedrig| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

• Muss der Protokolldefinition entsprechen.

• Kein Syslog-Header.

• Der Kopfzeilenteil (der durch eine Pipe getrennte Teil) muss vorhanden sein (wie im Protokoll angegeben).

• Die folgenden Schlüssel im Erweiterungsteil müssen im Ereignis vorhanden sein:

  • externalId = die Windows-Ereignis-ID
  • rt = der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es nicht der Zeitstempel der Ankunft am SIEM ist oder wenn es an ATA gesendet wird). Möglichst in Millisekundengenauigkeit, ist dies wichtig.
  • cat = der Name des Windows Ereignisprotokolls
  • shost = der Quellhostname
  • dhost = der Computer, der das Ereignis empfängt (der DC in diesem Fall)
  • duser = der Benutzer wird authentifiziert

• Die Bestellung ist für den Erweiterungsteil nicht wichtig.

• Für diese beiden Felder muss ein benutzerdefinierter Schlüssel und keyLable vorhanden sein:

  • "EventSource"
  • "Grund- oder Fehlercode" = Der Ergebniscode des NTLM

Splunk

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYYY\r\nMessage=

Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Konto anmelden: Administrator

Quellarbeitsstation: SIEM

Fehlercode: 0x0

• Der Syslog-Header ist optional.

• Es gibt ein "\r\n" Zeichentrennzeichen zwischen allen erforderlichen Feldern. Dies sind die Steuerzeichen CRLF (0D0A in Hex) und nicht Literalzeichen.

• Die Felder befinden sich im Schlüssel=Wertformat.

• Die folgenden Schlüssel müssen vorhanden sein und einen Wert aufweisen:

  • EventCode = die Windows Ereignis-ID
  • Logfile = der Name des Windows Ereignisprotokolls
  • SourceName = Der Name des Windows Ereignisanbieters
  • TimeGenerated = der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es nicht der Zeitstempel der Ankunft am SIEM ist oder wenn es an ATA gesendet wird). Das Format sollte mit yyyyMMdHHHmmss.FFFFFF übereinstimmen, vorzugsweise in Millisekunden genauigkeit, dies ist wichtig.
  • ComputerName = der Quellhostname
  • Message = der ursprüngliche Ereignistext aus dem Windows-Ereignis

• Der Nachrichtenschlüssel und der Wert MÜSSEN zuletzt kommen.

• Die Reihenfolge ist für die Schlüssel-Wert-Paare nicht wichtig.

QRadar

QRadar ermöglicht die Ereignissammlung über einen Agent. Wenn die Daten mithilfe eines Agents gesammelt werden, wird das Zeitformat ohne Millisekundendaten erfasst. Da ATA Millisekundendaten erfordert, ist es erforderlich, QRadar so einzustellen, dass die agentlose Windows-Ereignisprotokollierung verwendet wird. Weitere Informationen finden Sie unter QRadar: Agentless Windows Events Collection using the MSRPC Protocol.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Die erforderlichen Felder sind:

• Der Agenttyp für die Sammlung

• Der Name des Windows Ereignisprotokollanbieters

• Die Windows Ereignisprotokollquelle

• Der vollqualifizierte Domänenname des DC

• Die Windows-Ereignis-ID

TimeGenerated ist der Zeitstempel des tatsächlichen Ereignisses (stellen Sie sicher, dass es sich nicht um den Zeitstempel der Ankunft am SIEM handelt oder wenn es an ATA gesendet wird). Das Format sollte mit yyyyMMdHHHmmss.FFFFFF übereinstimmen, vorzugsweise in Millisekunden genauigkeit, dies ist wichtig.

Nachricht ist der ursprüngliche Ereignistext aus dem Windows-Ereignis

Stellen Sie sicher, dass \t zwischen den Schlüssel-Wert-Paaren vorhanden ist.

Siehe auch

• ATA POC-Bereitstellungshandbuch
• ATA-Größenanpassungstool
• Schauen Sie sich das ATA-Forum an!
• Konfigurieren der Ereignissammlung
• ATA-Voraussetzungen