Details zu Syslog- und E-Mail-Warnungen
Wenn Sie Syslog- oder E-Mail-Warnungen aktivieren, sendet Tenable Identity Exposure Benachrichtigungen, wenn es eine Abweichung, einen Angriff oder eine Änderung erkennt.
Hinweis: Sie erhalten IoA-Warnungen erst nach einem gewissen Zeitraum. Diese Verzögerung unterscheidet sich von dem Zeitraum, der während der Phase „Konfiguration testen“ beobachtet wird, wenn Sie Syslog- und E-Mail-Warnungen konfigurieren. Nehmen Sie daher nicht die Dauer der Testkonfiguration als Vergleichswert für den Zeitpunkt von Warnungen, die durch einen tatsächlichen Angriff ausgelöst werden.
Warnmeldungskopfzeile
Syslog-Warnmeldungskopfzeilen (RFC-3164) verwenden das Common Event Format (CEF), ein gängiges Format in Lösungen, die Security Information and Event Management (SIEM) integrieren.
Beispiel einer Warnmeldung für einen Indicator of Exposure (IoE)
IoE-Warnmeldungskopfzeile
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"Beispiel einer Warnmeldung für einen Indicator of Attack (IoA)
IoA-Warnmeldungskopfzeile
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"Warnmeldungsinformationen
Generische Elemente
Die Kopfzeilenstruktur umfasst die folgenden Teile, wie in der Tabelle beschrieben.
| Teil | Beschreibung |
|---|---|
| 1 |
Zeitstempel – Das Datum der Erkennung. Beispiel: „7. Jun. 05:37:03“ |
| 2 |
Hostname – Der Hostname Ihrer Anwendung. Beispiel: „kunde.tenable.ad“ |
| 3 |
Produktname – Der Name des Produkts, das die Abweichung ausgelöst hat. Beispiel: „TenableAD“, „AnderesTenableADProdukt“ |
| 4 |
PID – Die Produkt(Tenable Identity Exposure)-ID. Beispiel: [4] |
| 5 |
Tenable-Nachrichtentyp – Der Bezeichner von Ereignisquellen. Beispiel: „0“ (= bei jeder Abweichung), „1“ (= bei Änderungen), „2“ (= bei jedem Angriff), „3“ (= bei Integritätsprüfung-Statusänderung) |
| 6 |
Tenable-Warnmeldungs-ID – Die eindeutige ID der Warnung. Beispiel: „0“, „132“ |
| 7 |
Name der Gesamtstruktur – Der Name der Gesamtstruktur des betreffenden Ereignisses. Beispiel: „Unternehmensgesamtstruktur“ |
| 8 |
Domänenname – Der mit dem Ereignis verbundene Domänenname. Beispiel: „tenable.corp“, „zwx.com“ |
| 9 |
Tenable-Codename – Der Codename des Indicator of Exposure (IoE) oder Indicator of Attack (IoA). Beispiele: „C-PASSWORD-DONT-EXPIRE“, „DC Sync“. |
| 10 |
Tenable-Schweregradstufe – Der Schweregrad der betreffenden Abweichung. Beispiel: „critical“, „high“, „medium“ |
IoE-spezifische Elemente
| Teil | Beschreibung |
|---|---|
| 11 |
AD-Objekt – Der Distinguished Name des abweichenden Objekts. Beispiel: „CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local“ |
| 12 |
Tenable-Abweichungs-ID – Die ID der Abweichung. Beispiel: „24980“, „132“, „28“ |
| 13 |
Tenable-Profil-ID – Die ID des Profils, für das Tenable Identity Exposure die Abweichung ausgelöst hat. Beispiel: „1“ (Tenable), „2“ (sec_team) |
| 14 |
AD-Ursachen-Codename – Der Codename des Abweichungsgrunds. Beispiel: „R-DONT-EXPIRE-SET“, „R-UNCONST-DELEG“ |
| 15 |
Tenable-Ereignis-ID – Die ID des Ereignisses, das durch die Abweichung ausgelöst wurde. Beispiel: „40667“, „28“ |
| 16 |
Tenable-Einfügezeichenfolgen-Name – Der Name des Attributs, das durch das abweichende Objekt ausgelöst wurde. Beispiel: „Cn“, „useraccountcontrol“, „member“, „pwdlastset“ |
| 17 |
Tenable-Einfügezeichenfolgen-Wert – Der Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde. Beispiel: „s_infosec.scanner“, „CN=Backup Operators,CN=Builtin,DC=domain,DC=local“ |
IoA-spezifische Elemente
| Teil | Beschreibung |
|---|---|
| 11 |
Hostname der Quelle – Der Hostname des angreifenden Hosts. Der Wert kann auch „Unbekannt“ sein. |
| 12 |
IP-Adresse der Quelle – Die IP-Adresse des angreifenden Hosts. Werte können IPv4 oder IPv6 sein. |
| 13 |
Hostname des Ziels – Der Hostname des angegriffenen Hosts. |
| 14 |
IP-Adresse des Ziels – Die IP-Adresse des angegriffenen Hosts. Werte können IPv4 oder IPv6 sein. |
| 15 |
Angriffsvektor-Einfügezeichenfolgen-Name – Der Name des Attributs, das durch das abweichende Objekt ausgelöst wurde. |
| 16 |
Angriffsvektor-Einfügezeichenfolgen-Wert – Der Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde. |
Framing von Syslog-Meldungen
-
Für die UDP- und TCP-Syslog-Konfiguration verwendet Tenable Identity Exposure die nicht transparente Framing-Methode gemäß RFC-6587#3.4.2, um Meldungen voneinander zu trennen. Das Framing-Zeichen ist LF (\n).
-
Für TCP mit TLS verwendet Tenable Identity Exposure die Methode der Oktett-Zählung, wie in RFC-6587#3.4.1 beschrieben.
Beispiele
Trail Flow-Ereignisdetails
Das folgende Beispiel zeigt Details eines Ereignisses im Trail Flow, das Folgendes enthält:
-
Den Zeitstempel (1)
-
Den Namen des abweichenden Objekts (11)
-
Den Namen der Gesamtstruktur (7) und den Domänennamen (8).
-
Den Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde (17).
Ereignisquelle
Dieses Beispiel zeigt die Quelle für das Ereignis (5). Sie legen diesen Parameter auf der Syslog-Konfigurationsseite fest. Weitere Informationen finden Sie unter Syslog-Warnmeldungen.
Warnungs-ID
Dieses Beispiel zeigt die eindeutige ID der Warnung (6), die Sie in der Liste der konfigurierten E-Mail-Adressen in Tenable Identity Exposure unter System > Konfiguration > E-Mail finden.
Integritätsprüfungen
Dieses Beispiel zeigt die Ergebnisse für die Integritätsprüfungen, die von Tenable Identity Exposure in Ihrer Umgebung durchgeführt wurden. Weitere Informationen finden Sie unter Integritätsprüfungen.
Die Kopfzeilenstruktur umfasst die folgenden Teile, wie in der Tabelle beschrieben.
| Teil | Beschreibung |
|---|---|
| 1 |
Zeitstempel – Zeigt Datum und Uhrzeit der Erkennung des Ereignisses an. |
| 2 |
Syslog-Priorität – Dies ist der Syslog-Prioritätswert, der die Einrichtungs- und die Schweregradstufen kombiniert (RFC-3164). |
| 3 |
Hostname – Der Hostname der Anwendung oder des Geräts, die bzw. das die Warnung generiert hat. |
| 4 |
Produktname und PID – Gibt den Produktnamen und seine Prozess-ID an. |
| 5 |
Tenable-Nachrichtentyp – Der Bezeichner von Ereignisquellen. Beispiel: „0“ (= bei jeder Abweichung), „1“ (= bei Änderungen), „2“ (= bei jedem Angriff), „3“ (= bei Integritätsprüfung-Statusänderung) |
| 6 |
Tenable-Warnmeldungs-ID – Die eindeutige ID der Warnung. Beispiel: „0“, „132“ |
| 7 |
Codename der Integritätsprüfung – Bezeichnet die durchgeführte Systemdiagnose. Weitere Informationen finden Sie unter Integritätsprüfungen. |
| 8 |
Status der Integritätsprüfung – Zeigt das Ergebnis der Integritätsprüfung an. |
| 9 |
Relay-Name oder Domänenname – Identifiziert den Relay- oder Domänencontroller, der mit dieser Integritätsprüfung verknüpft ist. |
| 10–12 |
Metadatenfelder:
|