Syslog 和電子郵件警示詳細資料
當您啟用 Syslog 或電子郵件警示時,Tenable Identity Exposure 會在偵測到異常情況、攻擊或變更時發出通知。
注意:在您收到攻擊指標 (IoA) 警示之前,會有需要考慮的攝取時間。此延遲與您在設定 Syslog 和電子郵件警示時,在「測試設定」階段觀察到的時間不相同。因此,請勿使用來自測試設定的持續時間作為基準,與實際攻擊所觸發的警示時間進行比較。
警示標頭
Syslog 警示標頭 (RFC-3164) 使用常見事件格式 (CEF),這是整合安全性資訊與事件管理 (SIEM) 解決方案中的常用格式。
曝險指標 (IoE) 的警示範例
曝險指標 (IoE) 警示標頭
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"攻擊指標 (IoA) 的警示範例
攻擊指標 (IoA) 警示標頭
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"警示資訊
通用元素
標頭結構包含下列部分,如表格中所述。
| 部分 | 說明 |
|---|---|
| 1 |
時間戳記 - 偵測日期。範例:「Jun 7 05:37:03」 |
| 2 |
主機名稱 — 應用程式的主機名稱。範例:「customer.tenable.ad」 |
| 3 |
產品名稱 - 觸發異常情況的產品名稱。範例:「TenableAD」、「AnotherTenableADProduct」 |
| 4 |
PID- 產品 (Tenable Identity Exposure) ID。範例:[4] |
| 5 |
Tenable 訊息類型 - 事件來源的識別碼。範例:「0」(= 每個異常情況)、「1」 (= 變更)、「2」(= 每次攻擊)、「3」(= 運作狀況檢查狀態變更) |
| 6 |
Tenable Alert ID - 警示的唯一 ID。範例:「0」、「132」 |
| 7 |
樹系名稱 - 相關事件的樹系名稱。範例:「Corp Forest」 |
| 8 |
網域名稱 - 與事件相關的網域名稱。範例:「tenable.corp」、「zwx.com」 |
| 9 |
Tenable 代碼名稱 - 曝險指標 (IoE) 或攻擊指標 (IoA) 的代碼名稱。範例:「C-PASSWORD-DONT-EXPIRE」、「DC Sync」。 |
| 10 |
Tenable 嚴重性等級 - 相關異常情況的嚴重性等級。範例:「嚴重」、「高度」、「中等」 |
曝險指標 (IoE) 的特定元素
| 部分 | 說明 |
|---|---|
| 11 |
AD 物件 - 異常物件的辨別名稱。範例:「CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local」 |
| 12 |
Tenable 異常情況 ID - 異常情況的 ID。範例:「24980」、「132」、「28」 |
| 13 |
Tenable 設定檔 ID - Tenable Identity Exposure 觸發異常情況的相關設定檔 ID。範例:「1」 (Tenable)、「2」 (sec_team) |
| 14 |
AD 原因代碼名稱 - 異常情況產生原因的代碼名稱。範例:「R-DONT-EXPIRE-SET」、「R-UNCONST-DELEG」 |
| 15 |
Tenable 事件 ID - 觸發異常情況的事件 ID。範例:「40667」、「28」 |
| 16 |
Tenable 插入字串名稱 - 異常物件觸發的屬性名稱。範例:「Cn」、「useraccountcontrol」、「member」、「pwdlastset」 |
| 17 |
Tenable 插入字串值 - 異常物件觸發的屬性值。範例:「s_infosec.scanner」、「CN=Backup Operators,CN=Builtin,DC=domain,DC=local」 |
攻擊指標 (IoA) 的特定元素
| 部分 | 說明 |
|---|---|
| 11 |
來源主機名稱 — 攻擊主機的主機名稱。值也可以是「Unknown」。 |
| 12 |
來源 IP 位址 - 攻擊主機的 IP 位址。值可以是 IPv4 或 IPv6。 |
| 13 |
目的地主機名稱 — 遭攻擊主機的主機名稱。 |
| 14 |
目的地 IP 位址 — 遭攻擊主機的 IP 位址。值可以是 IPv4 或 IPv6。 |
| 15 |
攻擊媒介插入字串名稱 - 異常物件觸發的屬性名稱。 |
| 16 |
攻擊媒介插入字串值:異常物件觸發的屬性值。 |
Syslog 訊息框架
-
針對 UDP 和 TCP syslog 設定,Tenable Identity Exposure 依據 RFC-6587#3.4.2 使用非透明框架方法來分隔訊息。框架字元為 LF (\n)。
-
針對具有 TLS 的 TCP,Tenable Identity Exposure 使用 RFC-6587#3.4.1 中所述的八位元組計數方法。
範例
追蹤流程事件詳細資料
以下範例顯示追蹤流程中事件的詳細資料,其中包含以下內容:
-
時間戳記 (1)
-
異常物件名稱 (11)
-
樹系 (7) 和網域 (8) 名稱
-
異常物件觸發的屬性值 (17)
警示 ID
此範例顯示警示的唯一 ID (6),您可以在 Tenable Identity Exposure 的「系統」>「設定」>「電子郵件」中已設定的電子郵件地址清單中看到它。
