Details zu Syslog- und E-Mail-Warnungen

Wenn Sie Syslog- oder E-Mail-Warnungen aktivieren, sendet Tenable Identity Exposure Benachrichtigungen, wenn es eine Abweichung, einen Angriff oder eine Änderung erkennt.

Warnmeldungskopfzeile

Syslog-Warnmeldungskopfzeilen (RFC-3164) verwenden das Common Event Format (CEF), ein gängiges Format in Lösungen, die Security Information and Event Management (SIEM) integrieren.

Beispiel einer Warnmeldung für einen Indicator of Exposure (IoE)

Kopieren

IoE-Warnmeldungskopfzeile

<116>Jan  9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"

Beispiel einer Warnmeldung für einen Indicator of Attack (IoA)

Kopieren

IoA-Warnmeldungskopfzeile

<116>Jan  9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"

Warnmeldungsinformationen

Generische Elemente

Die Kopfzeilenstruktur umfasst die folgenden Teile, wie in der Tabelle beschrieben.

Teil Beschreibung
1

Zeitstempel – Das Datum der Erkennung. Beispiel: „7. Jun. 05:37:03“

2

Hostname – Der Hostname Ihrer Anwendung. Beispiel: „kunde.tenable.ad“

3

Produktname – Der Name des Produkts, das die Abweichung ausgelöst hat. Beispiel: „TenableAD“, „AnderesTenableADProdukt“

4

PID – Die Produkt(Tenable Identity Exposure)-ID. Beispiel: [4]

5

Tenable-Nachrichtentyp – Der Bezeichner von Ereignisquellen. Beispiel: „0“ (= bei jeder Abweichung), „1“ (= bei Änderungen), „2“ (= bei jedem Angriff)

6

Tenable-Warnmeldungs-ID – Die eindeutige ID der Warnung. Beispiel: „0“, „132“

7

Name der Gesamtstruktur – Der Name der Gesamtstruktur des betreffenden Ereignisses. Beispiel: „Unternehmensgesamtstruktur“

8

Domänenname – Der mit dem Ereignis verbundene Domänenname. Beispiel: „tenable.corp“, „zwx.com“

9

Tenable-Codename – Der Codename des Indicator of Exposure (IoE) oder Indicator of Attack (IoA). Beispiele: „C-PASSWORD-DONT-EXPIRE“, „DC Sync“.

10

Tenable-Schweregradstufe – Der Schweregrad der betreffenden Abweichung. Beispiel: „critical“, „high“, „medium“

IoE-spezifische Elemente

Teil Beschreibung
11

AD-Objekt – Der Distinguished Name des abweichenden Objekts. Beispiel: „CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local“

12

Tenable-Abweichungs-ID – Die ID der Abweichung. Beispiel: „24980“, „132“, „28“

13

Tenable-Profil-ID – Die ID des Profils, für das Tenable Identity Exposure die Abweichung ausgelöst hat. Beispiel: „1“ (Tenable), „2“ (sec_team)

14

AD-Ursachen-Codename – Der Codename des Abweichungsgrunds. Beispiel: „R-DONT-EXPIRE-SET“, „R-UNCONST-DELEG“

15

Tenable-Ereignis-ID – Die ID des Ereignisses, das durch die Abweichung ausgelöst wurde. Beispiel: „40667“, „28“

16

Tenable-Einfügezeichenfolgen-Name – Der Name des Attributs, das durch das abweichende Objekt ausgelöst wurde. Beispiel: „Cn“, „useraccountcontrol“, „member“, „pwdlastset“

17

Tenable-Einfügezeichenfolgen-Wert – Der Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde. Beispiel: „s_infosec.scanner“, „CN=Backup Operators,CN=Builtin,DC=domain,DC=local“

IoA-spezifische Elemente

Teil Beschreibung
11

Hostname der Quelle – Der Hostname des angreifenden Hosts. Der Wert kann auch „Unbekannt“ sein.

12

IP-Adresse der Quelle – Die IP-Adresse des angreifenden Hosts. Werte können IPv4 oder IPv6 sein.

13

Hostname des Ziels – Der Hostname des angegriffenen Hosts.

14

IP-Adresse des Ziels – Die IP-Adresse des angegriffenen Hosts. Werte können IPv4 oder IPv6 sein.

15

Angriffsvektor-Einfügezeichenfolgen-Name – Der Name des Attributs, das durch das abweichende Objekt ausgelöst wurde.

16

Angriffsvektor-Einfügezeichenfolgen-Wert – Der Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde.

Beispiele