Syslog 警示
有些組織使用 SIEM (安全性資訊與事件管理) 來收集有關潛在威脅和安全性資安事端的記錄。Tenable Identity Exposure 可將與 Active Directory 相關的安全性資訊推送至 SIEM Syslog 伺服器,以改進其警示機制。
管理 Syslog 警示
-
在 Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。
-
按一下右側的「新增 Syslog 警示」按鈕。
「新增 Syslog 警示」窗格會隨即顯示。
-
在「主要資訊」區段下方提供下列資訊:
-
如果您的網路使用安全轉送:在「轉送」方塊中按一下箭頭,從下拉式清單中選取要與 SIEM 通訊的轉送。
-
在「收集器 IP 位址或主機名稱」方塊中輸入接收通知的伺服器 IP 或主機名稱。
-
在「連接埠」方塊中輸入收集器的連接埠號碼。
-
在「通訊協定」方塊中,按一下箭頭選取 UDP 或 TCP。
-
如果您選擇 TCP,想要啟用 TLS 安全性通訊協定來加密記錄,請選取「TLS」選項核取方塊。
-
-
-
在「描述」方塊中輸入有關收集器的簡要描述。
-
在「觸發警示」下拉式清單中,選取一個選項:
-
變更時:只要發生您指定的事件,Tenable Identity Exposure 就會發出通知。
-
每次發生異常情況時:Tenable Identity Exposure 會在每次偵測到異常曝險指標 (IoE) 時發出通知。
-
每次發生攻擊時:Tenable Identity Exposure 會在每次偵測到異常攻擊指標 (IoA) 時發出通知。
-
每次運作狀況檢查狀態變更時:Tenable Identity Exposure 會在每次運作狀況檢查狀態變更時發出通知。
-
-
在「設定檔」方塊中按一下,選取要用於此 Syslog 警示的設定檔 (若適用)。
-
在初始分析階段偵測到異常情況時傳送警示:執行下列任一動作 (若適用):
-
選取核取方塊:當系統重新啟動觸發警示時,Tenable Identity Exposure 會傳送大量 Syslog 訊息。
-
取消選取核取方塊:當系統重新啟動觸發警示時,Tenable Identity Exposure 不會傳送 Syslog 訊息。
-
-
嚴重性臨界值:按一下下拉式方塊的箭頭,可選取 Tenable Identity Exposure 傳送警示時的臨界值 (若適用)。
-
視您在前面步驟中選取的警示觸發程序而定:
-
事件變更:如果您將警示設定為「變更時」觸發,請輸入一個運算式來觸發事件通知。
您可以按一下
圖示以使用搜尋精靈,或在搜尋方塊中輸入查詢運算式,然後按一下「驗證」。如需詳細資訊,請參閱自訂追蹤流程查詢。注意:Tenable Identity Exposure 會在收到事件後立即套用此篩選器,以便在執行任何其他安全性分析之前將事件轉送至 Syslog。因此,依賴擴充或後處理資料的篩選器在此階段將無法運作。 -
曝險指標:如果您將警示設定為每次發生異常情況時觸發,請按一下每個嚴重性等級旁邊的箭頭,以展開曝險指標清單並選取要傳送警示的指標。
-
攻擊指標:如果您將警示設定為每次發生攻擊時觸發,請按一下每個嚴重性等級旁邊的箭頭,以展開攻擊指標清單並選取要傳送警示的指標。
-
運作狀況檢查狀態變更:按一下「運作狀況檢查」,選取要觸發警示的運作狀況檢查類型,然後按一下「篩選選取的項目」。
-
-
按一下「網域」方塊,以選取 Tenable Identity Exposure 要傳送警示的網域。
「樹系和網域 」窗格會隨即顯示。
-
選取樹系或網域。
-
按一下「篩選選取的項目」。
-
-
按一下「測試設定」。
系統會顯示一則訊息,確認 Tenable Identity Exposure 已傳送 Syslog 警示至伺服器。
-
按一下「新增」。
系統將顯示一則訊息,確認 Tenable Identity Exposure 已建立 Syslog 警示。
編輯 Syslog 警示
-
在 Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。
-
在 Syslog 警示清單中,將游標停留在您要修改的警示上,然後按一下此行末尾的
圖示。「編輯 Syslog 警示」窗格會隨即顯示。
-
按照前文「新增 Syslog 警示」程序中所述進行必要的修改。
-
按一下「編輯」。
系統將顯示一則訊息,確認 Tenable Identity Exposure 已更新警示。
如要刪除 Syslog 警示:
-
在 Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。
-
在 Syslog 警示清單中,將游標停留在您要刪除的警示上,然後按一下此行末尾的
圖示。系統會顯示一則訊息,要求您確認刪除。
-
按一下「刪除」。
系統將顯示一則訊息,確認 Tenable Identity Exposure 已刪除警示。
將 Syslog 資料對應至 Tenable Identity Exposure 警示
此程序說明如何將 Syslog 資料從 SIEM 對應至 Tenable Identity Exposure 攻擊警示。
範例:
<116>feb 04 10:31:01 qradar.alsid.app TenableAD[4]: "2" "1337" "Alsid Forest" "alsid.corp" "DC Sync" "medium" "LABFAB-TOOLS" "10.200.200.5" "LABFAB-DC" "10.200.200.4" "user"="dcadmin" "dc_name"="LABFAB-DC"Tenable 的每個 Syslog 事件都遵循標準格式,其中特定欄位用引號 (") 括起來。這些欄位代表不同的事件屬性,例如警示 ID、網域、威脅類型、風險等級、主機名稱、IP 位址等等。
| 第 # 部分 | 欄位值 | 說明 |
|---|---|---|
| 1 | feb 04 10:31:01 | 時間戳記 (事件時間) |
| 2 | "2" | 嚴重性等級 |
| 3 | "1337" | 警示 ID |
| 4 | "Alsid Forest" | 樹系名稱 |
| 5 | "alsid.corp" | 網域名稱 |
| 6 | "DC Sync" | 攻擊 / Tenable Codename |
| 7 | "medium" | 風險等級 |
| 8 | "LABFAB-TOOLS" | 來源主機名稱 |
| 9 | "10.200.200.5" | 來源 IP 位址 |
| 10 | "LABFAB-DC" | 目的地主機名稱 (目標 DC) |
| 11 | "10.200.200.4" | 目的地 IP 位址 |
| 12 | "user"="dcadmin" | 攻擊中使用的帳戶 |
| 13 | "dc_name"="LABFAB-DC" | 網域控制器名稱 |
如要將 Syslog 資料對應至攻擊資訊:
-
按攻擊代碼名稱篩選:選取值為「DC Sync」的事件 (第 6 部分 – 攻擊代碼名稱)。
-
按日期篩選將事件範圍縮小至時間戳記 feb 04 10:31:01 (第 1 部分 – 時間戳記)。
-
符合確切時間戳記驗證事件時間戳記是否符合 feb 04 10:31:01 (第 1 部分 – 時間戳記)。
-
驗證來源和目的地:確保攻擊詳細資料符合
-
來源:「LABFAB-TOOLS」「10.200.200.5」(部分 8 和 9)
-
目的地:「LABFAB-DC」「10.200.200.4」(部分 10 和 11)
-
另請參閱