Installer ATA - Étape 6

S’applique à : Advanced Threat Analytics version 1.9

Étape 6 : Configurer la collecte d’événements

Configurer la collection d’événements

Pour améliorer les fonctionnalités de détection, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757 et 7045. Ces événements Windows sont lus automatiquement par la passerelle légère ATA ou si la passerelle légère ATA n'est pas déployée, elles peuvent être transférées vers la passerelle ATA de deux façons, soit en configurant la passerelle ATA pour écouter les événements SIEM, soit par Configuring Windows transfert d'événements.

En plus de collecter et d’analyser le trafic réseau vers et à partir des contrôleurs de domaine, ATA peut utiliser des événements Windows pour améliorer davantage les détections. Il utilise l’événement 4776 pour NTLM, qui améliore les différentes détections et événements 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer la détection des modifications de groupe sensibles. Cela peut être reçu de votre SIEM ou en configurant le transfert des événements Windows depuis votre contrôleur de domaine. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.

SIEM/Syslog

Pour qu’ATA puisse consommer des données à partir d’un serveur Syslog, vous devez effectuer les étapes suivantes :

• Configurez vos serveurs de passerelle ATA pour écouter et accepter les événements transférés à partir du serveur SIEM/Syslog.

Reportez-vous à la documentation produit de votre serveur SIEM/Syslog pour plus d’informations sur la configuration du transfert d’événements spécifiques vers un autre serveur.

Configuration de la passerelle ATA pour écouter les événements SIEM

1. Dans Configuration ATA, sous Sources de données , sélectionnez SIEM et activez Syslog , puis sélectionnez Enregistrer.

   

2. Configurez votre serveur SIEM ou Syslog pour transférer Windows ID d’événement 4776 à l’adresse IP de l’une des passerelles ATA. Pour plus d’informations sur la configuration de votre SIEM, consultez l’aide en ligne siem ou les options de support technique pour connaître les exigences de mise en forme spécifiques pour chaque serveur SIEM.

ATA prend en charge les événements SIEM dans les formats suivants :

RSA Security Analytics

<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

• L’en-tête Syslog est facultatif.

• «\n" séparateur de caractères est requis entre tous les champs.

• Les champs, dans l’ordre, sont les suivants :

  1. Constante RsaSA (doit apparaître).
  2. Horodatage de l'événement réel (assurez-vous qu'il ne s'agit pas de l'horodatage de l'arrivée à l'EM ou de son envoi à ATA). De préférence en millisecondes, cela est important.
  3. ID d’événement Windows
  4. Nom du fournisseur d’événements Windows
  5. Nom du journal des événements Windows
  6. Nom de l’ordinateur recevant l’événement (le contrôleur de domaine dans ce cas)
  7. Nom de l'utilisateur authentifiant
  8. Nom du nom d’hôte source
  9. Code de résultat de la NTLM

• L’ordre est important et rien d’autre ne doit être inclus dans le message.

MicroFocus ArcSight

CEF :0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing :4776|Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte.|Faible| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Raison ou Code d’erreur

• Doit se conformer à la définition du protocole.

• Aucun en-tête syslog.

• La partie d’en-tête (la partie séparée par une pipe) doit être présente (comme indiqué dans le protocole).

• Les clés suivantes dans la partie Extension doivent être présentes dans l’événement :

  • externalId = l’ID d’événement Windows
  • rt = l’horodatage de l’événement réel (assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à ATA). De préférence en millisecondes, cela est important.
  • cat = nom du journal des événements Windows
  • shost = le nom d’hôte source
  • dhost = l’ordinateur recevant l’événement (le contrôleur de domaine dans ce cas)
  • duser = l'utilisateur qui s'authentifie

• L’ordre n’est pas important pour la partie Extension

• Il doit y avoir une clé personnalisée et un keyLabel pour ces deux champs :

  • « EventSource »
  • « Raison ou Code d’erreur » = Code de résultat de la NTLM

Splunk

<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Audit de sécurité\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

L’ordinateur a tenté de valider les informations d’identification d’un compte.

Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Compte de connexion : Administrateur

Station de travail source : SIEM

Code d’erreur : 0x0

• L’en-tête Syslog est facultatif.

• Il existe un séparateur de caractères «\r\n» entre tous les champs obligatoires. Il s’agit des caractères de contrôle CRLF (0D0A en hexadécimal) et non des caractères littérals.

• Les champs sont au format key=value.

• Les clés suivantes doivent exister et avoir une valeur :

  • EventCode = l’ID d’événement Windows
  • Logfile = le nom du journal des événements Windows
  • SourceName = Nom du fournisseur d’événements Windows
  • TimeGenerated = l’horodatage de l’événement réel (assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à ATA). Le format doit correspondre à yyyyMMddHHmmss.FFFFFF. De préférence en millisecondes, c’est important.
  • ComputerName = le nom d’hôte source
  • Message = texte original de l’événement Windows

• La clé et la valeur du message DOIVENT être les dernières.

• L’ordre n’est pas important pour les paires key=value.

QRadar

QRadar permet la collecte d’événements via un agent. Si les données sont collectées à l’aide d’un agent, le format de temps est collecté sans données en millisecondes. Étant donné qu'ATA nécessite des données en millisecondes, il est nécessaire de définir QRadar pour utiliser la collection d'événements sans agent Windows. Pour plus d’informations, consultez QRadar : Collection d’événements sans agent Windows à l’aide du protocole MSRPC.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Les champs nécessaires sont les suivants :

• Type d’agent pour la collection

• Nom du fournisseur de journaux d’événements Windows

• Source du journal des événements Windows

• Nom de domaine complètement qualifié du contrôleur de domaine (DC)

• ID d’événement Windows

TimeGenerated est l’horodatage de l’événement réel (assurez-vous qu’il ne s’agit pas de l’horodatage de l’arrivée au SIEM ou lorsqu’il est envoyé à ATA). Le format doit correspondre à aaaaMMddHHmmss.FFFFFF, de préférence avec une précision en millisecondes, c’est important.

Le message est le texte original de l’événement Windows

Veillez à avoir \t entre les paires key=value.

Voir aussi

• Guide de déploiement d’ATA POC
• Outil de dimensionnement ATA
• Consultez le forum ATA !
• Configurer la collecte d’événements
• Prérequis ATA