Syslog 和電子郵件警示詳細資料
當您啟用 Syslog 或電子郵件警示時,Tenable Identity Exposure 會在偵測到異常情況、攻擊或變更時發出通知。
注意:在您收到攻擊指標 (IoA) 警示之前,會有需要考慮的攝取時間。此延遲與您在設定 Syslog 和電子郵件警示時,在「測試設定」階段觀察到的時間不相同。因此,請勿使用來自測試設定的持續時間作為基準,與實際攻擊所觸發的警示時間進行比較。
警示標頭
Syslog 警示標頭 (RFC-3164) 使用常見事件格式 (CEF),這是整合安全性資訊與事件管理 (SIEM) 解決方案中的常用格式。
曝險指標 (IoE) 的警示範例
曝險指標 (IoE) 警示標頭
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"攻擊指標 (IoA) 的警示範例
攻擊指標 (IoA) 警示標頭
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"警示資訊
通用元素
標頭結構包含下列部分,如表格中所述。
| 部分 | 說明 |
|---|---|
| 1 |
時間戳記:偵測的日期。範例:「Jun 7 05:37:03」 |
| 2 |
主機名稱:應用程式的主機名稱。範例:「customer.tenable.ad」 |
| 3 |
產品名稱:觸發異常情況的產品名稱。範例:「TenableAD」、「AnotherTenableADProduct」 |
| 4 |
PID:產品 (Tenable Identity Exposure) ID。範例:[4] |
| 5 |
Tenable 訊息類型:事件來源的識別碼。範例:「0」(= 每個異常情況)、「1」 (= 變更)、「2」(= 每次攻擊)、「3」(= 運作狀況檢查狀態變更) |
| 6 |
Tenable Alert ID:警示的唯一 ID。範例:「0」、「132」 |
| 7 |
樹系名稱:相關事件的樹系名稱。範例:「Corp Forest」 |
| 8 |
網域名稱:與事件相關的網域名稱。範例:「tenable.corp」、「zwx.com」 |
| 9 |
Tenable 代碼名稱:曝險指標 (IoE) 或攻擊指標 (IoA) 的代碼名稱。範例:「C-PASSWORD-DONT-EXPIRE」、「DC Sync」。 |
| 10 |
Tenable 嚴重性等級:相關異常情況的嚴重性等級。範例:「嚴重」、「高度」、「中等」 |
曝險指標 (IoE) 的特定元素
| 部分 | 說明 |
|---|---|
| 11 |
AD 物件:異常物件的辨別名稱。範例:「CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local」 |
| 12 |
Tenable 異常情況 ID:異常情況的 ID。範例:「24980」、「132」、「28」 |
| 13 |
Tenable 設定檔 ID:Tenable Identity Exposure 觸發異常情況的相關設定檔 ID。範例:「1」 (Tenable)、「2」 (sec_team) |
| 14 |
AD 原因代碼名稱:異常情況產生原因的代碼名稱。範例:「R-DONT-EXPIRE-SET」、「R-UNCONST-DELEG」 |
| 15 |
Tenable 事件 ID:觸發異常情況的事件 ID。範例:「40667」、「28」 |
| 16 |
Tenable 插入字串名稱:異常物件觸發的屬性名稱。範例:「Cn」、「useraccountcontrol」、「member」、「pwdlastset」 |
| 17 |
Tenable 插入字串值:異常物件觸發的屬性值。範例:「s_infosec.scanner」、「CN=Backup Operators,CN=Builtin,DC=domain,DC=local」 |
攻擊指標 (IoA) 的特定元素
| 部分 | 說明 |
|---|---|
| 11 |
來源主機名稱:攻擊主機的主機名稱。值也可以是「Unknown」。 |
| 12 |
來源 IP 位址:攻擊主機的 IP 位址。值可以是 IPv4 或 IPv6。 |
| 13 |
目的地主機名稱:遭攻擊主機的主機名稱。 |
| 14 |
目的地 IP 位址:遭攻擊主機的 IP 位址。值可以是 IPv4 或 IPv6。 |
| 15 |
攻擊媒介插入字串名稱:異常物件觸發的屬性名稱。 |
| 16 |
攻擊媒介插入字串值:異常物件觸發的屬性值。 |
Syslog 訊息框架
-
針對 UDP 和 TCP syslog 設定,Tenable Identity Exposure 依據 RFC-6587#3.4.2 使用非透明框架方法來分隔訊息。框架字元為 LF (\n)。
-
針對具有 TLS 的 TCP,Tenable Identity Exposure 使用 RFC-6587#3.4.1 中所述的八位元組計數方法。
範例
追蹤流程事件詳細資料
以下範例顯示追蹤流程中事件的詳細資料,其中包含以下內容:
-
時間戳記 (1)
-
異常物件名稱 (11)
-
樹系 (7) 和網域 (8) 名稱
-
異常物件觸發的屬性值 (17)
警示 ID
此範例顯示警示的唯一 ID (6),您可以在 Tenable Identity Exposure 的「系統」>「設定」>「電子郵件」中已設定的電子郵件地址清單中看到。
運作狀況檢查
此範例顯示 Tenable Identity Exposure 在您的環境中執行的運作狀況檢查結果。如需詳細資訊,請參閱 運作狀況檢查。
標頭結構包含下列部分,如表格中所述。
| 部分 | 說明 |
|---|---|
| 1 |
時間戳記:表示偵測到事件的日期和時間。 |
| 2 |
Syslog 優先順序:這是 syslog 優先順序值,結合了設備和嚴重性等級 (RFC-3164) |
| 3 |
主機名稱:產生警示的應用程式或裝置的主機名稱。 |
| 4 |
產品名稱和 PID:指定產品名稱及其處理程序 ID。 |
| 5 |
Tenable 訊息類型:事件來源的識別碼。範例:「0」(= 每個異常情況)、「1」 (= 變更)、「2」(= 每次攻擊)、「3」(= 運作狀況檢查狀態變更) |
| 6 |
Tenable Alert ID:警示的唯一 ID。範例:「0」、「132」 |
| 7 |
Health Check Codename:表示執行的特定運作狀況檢查。如需詳細資訊,請參閱 運作狀況檢查。 |
| 8 |
運作狀況檢查狀態:表示運作狀況檢查的結果。 |
| 9 |
轉送名稱或網域名稱:識別與此運作狀況檢查相關的轉送或網域控制器。 |
| 10-12 |
中繼資料欄位:
|