Az ATA telepítése – 6. lépés
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
6. lépés: Az eseménygyűjtés konfigurálása
Eseménygyűjtés konfigurálása
Az észlelési képességek javításához az ATA-nak a következő Windows-eseményekre van szüksége: 4776, 4732, 4733, 4728, 4729, 4756, 4757 és 7045. Ezeket a Windows-eseményeket az egyszerűsített ATA-átjáró automatikusan felolvassa, vagy ha az egyszerűsített ATA-átjáró nincs üzembe helyezve, két módon továbbíthatja őket az ATA-átjárónak, akár úgy, hogy konfigurálja az ATA-átjárót az SIEM-események figyelésére, vagy konfigurálja a Windows eseménytovábbítást.
Megjegyzés:
Az ATA 1.8-s és újabb verziói esetében a Windows eseménygyűjtési konfigurációja már nem szükséges az egyszerűsített ATA-átjárókhoz. Az egyszerűsített ATA-átjáró mostantól helyileg olvassa be az eseményeket anélkül, hogy konfigurálnia kellene az eseménytovábbítást.
A tartományvezérlők bejövő és kimenő hálózati forgalmának gyűjtése és elemzése mellett az ATA Windows-események használatával tovább javíthatja az észleléseket. A 4776-os eseményt használja az NTLM-hez, amely javítja a 4732, 4733, 4728, 4729, 4756 és 4757 események észlelését a bizalmas csoportmódosítások észlelésének javításához. Ez a SIEM-től vagy a Windows eseménytovábbítás a tartományvezérlőtől való beállításával fogadható. Az összegyűjtött események olyan további információkat biztosítanak az ATA számára, amelyek nem érhetők el a tartományvezérlő hálózati forgalmán keresztül.
SIEM/Syslog
Ahhoz, hogy az ATA adatokat tudjon használni egy Syslog-kiszolgálóról, a következő lépéseket kell végrehajtania:
- Konfigurálja az ATA-átjárókiszolgálóit az SIEM-/Syslog-kiszolgálóról továbbított események figyelésére és fogadására.
Megjegyzés:
Az ATA csak az IPv4-et figyeli, az IPv6-ot nem.
- Konfigurálja az SIEM-/Syslog-kiszolgálót, hogy adott eseményeket továbbítson az ATA-átjárónak.
Fontos
- Ne továbbítja az összes Syslog-adatot az ATA-átjárónak.
- Az ATA támogatja az SIEM-/Syslog-kiszolgálóról érkező UDP-forgalmat.
Az egyes események másik kiszolgálóra történő továbbításának konfigurálásával kapcsolatos információkért tekintse meg az SIEM-/Syslog-kiszolgáló termékdokumentációját.
Megjegyzés:
Ha nem használ SIEM-/Syslog-kiszolgálót, konfigurálhatja a Windows-tartományvezérlőket a 4776-os Windows-eseményazonosító továbbítására, hogy az ATA gyűjtse és elemezze. A 4776-os Windows-eseményazonosító az NTLM-hitelesítésekkel kapcsolatos adatokat biztosít.
Az ATA-átjáró konfigurálása SIEM-események figyelésére
Az ATA-konfiguráció adatforrások területén kattintson az SIEM elemre, kapcsolja be a Syslogot , majd kattintson a Mentés gombra.
Konfigurálja úgy az SIEM- vagy Syslog-kiszolgálót, hogy a 4776-os Windows-eseményazonosítót az egyik ATA-átjáró IP-címére továbbítsa. A SIEM konfigurálásával kapcsolatos további információkért tekintse meg az SIEM online súgóját vagy technikai támogatási lehetőségeit az egyes SIEM-kiszolgálók formázási követelményeihez.
Az ATA a következő formátumokban támogatja az SIEM-eseményeket:
RSA Security Analytics
<Syslog Header>RsaSA\n2015. május 19. 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYYY$\nMMMMM \n0x0
A Syslog fejléce nem kötelező.
Az "\n" karakterelválasztó minden mező között kötelező.
A mezők sorrendje a következő:
- RsaSA állandó (meg kell jelennie).
- A tényleges esemény időbélyege (győződjön meg arról, hogy nem az EM-nek való érkezés időbélyege vagy az ATA-nak küldött időbélyeg). Lehetőleg ezredmásodperc pontossággal, ez fontos.
- A Windows eseményazonosítója
- A Windows eseményszolgáltatójának neve
- A Windows eseménynaplójának neve
- Az eseményt fogadó számítógép neve (ebben az esetben a tartományvezérlő)
- A hitelesítő felhasználó neve
- A forrás gazdagép neve
- Az NTLM eredménykódja
A sorrend fontos, és semmi mást nem szabad belefoglalni az üzenetbe.
MicroFocus ArcSight
CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|A tartományvezérlő megpróbálta ellenőrizni egy fiók hitelesítő adatait.|Alacsony| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason vagy Error Code
Meg kell felelnie a protokoll definíciójának.
Nincs syslog fejléc.
A fejlécrésznek (a csővel elválasztott résznek) léteznie kell (a protokollban leírtak szerint).
Az eseményben a Bővítmény rész alábbi kulcsainak kell szerepelnie:
- externalId = a Windows eseményazonosítója
- rt = a tényleges esemény időbélyege (győződjön meg arról, hogy nem az SIEM-be való érkezés időbélyege vagy az ATA-nak küldött időbélyeg). Lehetőleg ezredmásodperc pontossággal, ez fontos.
- cat = a Windows eseménynaplójának neve
- shost = a forrás gazdagép neve
- dhost = az eseményt fogadó számítógép (ebben az esetben a tartományvezérlő)
- duser = a hitelesítő felhasználó
A sorrend nem fontos a Bővítmény részhez
Ehhez a két mezőhöz egyéni kulcsnak és keyLable kulcsnak kell lennie:
- "EventSource"
- "Ok vagy hibakód" = Az NTLM eredménykódja
Splunk
<Syslog-fejléc>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=
A számítógép megpróbálta ellenőrizni egy fiók hitelesítő adatait.
Hitelesítési csomag: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Bejelentkezési fiók: rendszergazda
Forrás munkaállomás: SIEM
Hibakód: 0x0
A Syslog fejléce nem kötelező.
Az összes szükséges mező között "\r\n" karakterelválasztó van. Vegye figyelembe, hogy ezek a CRLF vezérlőkarakterek (hexán 0D0A), nem pedig literális karakterek.
A mezők key=value formátumban vannak.
A következő kulcsoknak létezniük kell, és értékkel kell rendelkezniük:
- EventCode = a Windows eseményazonosítója
- Logfile = a Windows eseménynaplójának neve
- SourceName = A Windows eseményszolgáltatójának neve
- TimeGenerated = a tényleges esemény időbélyege (győződjön meg arról, hogy nem az SIEM-hez való érkezés időbélyege, vagy az ATA-nak való küldés időpontja). A formátumnak meg kell egyeznie az yyMMddHmmss.FFFFFF formátummal, lehetőleg ezredmásodperc pontossággal, ez fontos.
- ComputerName = a forrás állomásneve
- Message = a Windows-esemény eredeti eseményszövege
Az üzenetkulcsnak és az értéknek utolsónak kell lennie.
A key=value párok sorrendje nem fontos.
QRadar
A QRadar ügynökkel engedélyezi az eseménygyűjtést. Ha az adatokat ügynök használatával gyűjti össze, az időformátum ezredmásodperc nélkül lesz összegyűjtve. Mivel az ATA ezredmásodpercnyi adatot igényel, a QRadart ügynök nélküli Windows-eseménygyűjtés használatára kell beállítani. További információ : QRadar: Ügynök nélküli Windows-események gyűjtése az MSRPC protokoll használatával.
<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0
A szükséges mezők a következők:
A gyűjtemény ügynöktípusa
A Windows eseménynapló-szolgáltatójának neve
A Windows eseménynaplójának forrása
A tartományvezérlő teljes tartományneve
A Windows eseményazonosítója
A TimeGenerated a tényleges esemény időbélyegzője (győződjön meg arról, hogy nem az SIEM-be való érkezés időbélyege, vagy amikor az ATA-nak küldik). A formátumnak meg kell egyeznie az yyMMddHmmss.FFFFFF formátummal, lehetőleg ezredmásodperc pontossággal, ez fontos.
Az üzenet a Windows-esemény eredeti eseményszövege
Győződjön meg arról, hogy a kulcs=érték párok között \t van.
Megjegyzés:
A WinCollect windowsos eseménygyűjteményhez való használata nem támogatott.