Details zu Syslog- und E-Mail-Warnungen
Wenn Sie Syslog- oder E-Mail-Warnungen aktivieren, sendet Tenable Identity Exposure Benachrichtigungen, wenn es eine Abweichung, einen Angriff oder eine Änderung erkennt.
Hinweis: Sie erhalten IoA-Warnungen erst nach einem gewissen Zeitraum. Diese Verzögerung unterscheidet sich von dem Zeitraum, der während der Phase „Konfiguration testen“ beobachtet wird, wenn Sie Syslog- und E-Mail-Warnungen konfigurieren. Nehmen Sie daher nicht die Dauer der Testkonfiguration als Vergleichswert für den Zeitpunkt von Warnungen, die durch einen tatsächlichen Angriff ausgelöst werden.
Warnmeldungskopfzeile
Syslog-Warnmeldungskopfzeilen (RFC-3164) verwenden das Common Event Format (CEF), ein gängiges Format in Lösungen, die Security Information and Event Management (SIEM) integrieren.
Beispiel einer Warnmeldung für einen Indicator of Exposure (IoE)
IoE-Warnmeldungskopfzeile
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"Beispiel einer Warnmeldung für einen Indicator of Attack (IoA)
IoA-Warnmeldungskopfzeile
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"Warnmeldungsinformationen
Generische Elemente
Die Kopfzeilenstruktur umfasst die folgenden Teile, wie in der Tabelle beschrieben.
| Teil | Beschreibung |
|---|---|
| 1 |
Zeitstempel – Das Datum der Erkennung. Beispiel: „7. Jun. 05:37:03“ |
| 2 |
Hostname – Der Hostname Ihrer Anwendung. Beispiel: „kunde.tenable.ad“ |
| 3 |
Produktname – Der Name des Produkts, das die Abweichung ausgelöst hat. Beispiel: „TenableAD“, „AnderesTenableADProdukt“ |
| 4 |
PID – Die Produkt(Tenable Identity Exposure)-ID. Beispiel: [4] |
| 5 |
Tenable-Nachrichtentyp – Der Bezeichner von Ereignisquellen. Beispiel: „0“ (= bei jeder Abweichung), „1“ (= bei Änderungen), „2“ (= bei jedem Angriff), „3“ (= bei Integritätsprüfung-Statusänderung) |
| 6 |
Tenable-Warnmeldungs-ID – Die eindeutige ID der Warnung. Beispiel: „0“, „132“ |
| 7 |
Name der Gesamtstruktur – Der Name der Gesamtstruktur des betreffenden Ereignisses. Beispiel: „Unternehmensgesamtstruktur“ |
| 8 |
Domänenname – Der mit dem Ereignis verbundene Domänenname. Beispiel: „tenable.corp“, „zwx.com“ |
| 9 |
Tenable-Codename – Der Codename des Indicator of Exposure (IoE) oder Indicator of Attack (IoA). Beispiele: „C-PASSWORD-DONT-EXPIRE“, „DC Sync“. |
| 10 |
Tenable-Schweregradstufe – Der Schweregrad der betreffenden Abweichung. Beispiel: „critical“, „high“, „medium“ |
IoE-spezifische Elemente
| Teil | Beschreibung |
|---|---|
| 11 |
AD-Objekt – Der Distinguished Name des abweichenden Objekts. Beispiel: „CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local“ |
| 12 |
Tenable-Abweichungs-ID – Die ID der Abweichung. Beispiel: „24980“, „132“, „28“ |
| 13 |
Tenable-Profil-ID – Die ID des Profils, für das Tenable Identity Exposure die Abweichung ausgelöst hat. Beispiel: „1“ (Tenable), „2“ (sec_team) |
| 14 |
AD-Ursachen-Codename – Der Codename des Abweichungsgrunds. Beispiel: „R-DONT-EXPIRE-SET“, „R-UNCONST-DELEG“ |
| 15 |
Tenable-Ereignis-ID – Die ID des Ereignisses, das durch die Abweichung ausgelöst wurde. Beispiel: „40667“, „28“ |
| 16 |
Tenable-Einfügezeichenfolgen-Name – Der Name des Attributs, das durch das abweichende Objekt ausgelöst wurde. Beispiel: „Cn“, „useraccountcontrol“, „member“, „pwdlastset“ |
| 17 |
Tenable-Einfügezeichenfolgen-Wert – Der Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde. Beispiel: „s_infosec.scanner“, „CN=Backup Operators,CN=Builtin,DC=domain,DC=local“ |
IoA-spezifische Elemente
| Teil | Beschreibung |
|---|---|
| 11 |
Hostname der Quelle – Der Hostname des angreifenden Hosts. Der Wert kann auch „Unbekannt“ sein. |
| 12 |
IP-Adresse der Quelle – Die IP-Adresse des angreifenden Hosts. Werte können IPv4 oder IPv6 sein. |
| 13 |
Hostname des Ziels – Der Hostname des angegriffenen Hosts. |
| 14 |
IP-Adresse des Ziels – Die IP-Adresse des angegriffenen Hosts. Werte können IPv4 oder IPv6 sein. |
| 15 |
Angriffsvektor-Einfügezeichenfolgen-Name – Der Name des Attributs, das durch das abweichende Objekt ausgelöst wurde. |
| 16 |
Angriffsvektor-Einfügezeichenfolgen-Wert – Der Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde. |
Framing von Syslog-Meldungen
-
Für die UDP- und TCP-Syslog-Konfiguration verwendet Tenable Identity Exposure die nicht transparente Framing-Methode gemäß RFC-6587#3.4.2, um Meldungen voneinander zu trennen. Das Framing-Zeichen ist LF (\n).
-
Für TCP mit TLS verwendet Tenable Identity Exposure die Methode der Oktett-Zählung, wie in RFC-6587#3.4.1 beschrieben.
Beispiele
Trail Flow-Ereignisdetails
Das folgende Beispiel zeigt Details eines Ereignisses im Trail Flow, das Folgendes enthält:
-
Den Zeitstempel (1)
-
Den Namen des abweichenden Objekts (11)
-
Den Namen der Gesamtstruktur (7) und den Domänennamen (8).
-
Den Wert des Attributs, das durch das abweichende Objekt ausgelöst wurde (17).
Ereignisquelle
Dieses Beispiel zeigt die Quelle für das Ereignis (5). Sie legen diesen Parameter auf der Syslog-Konfigurationsseite fest. Weitere Informationen finden Sie unter Syslog-Warnmeldungen.
Warnungs-ID
Dieses Beispiel zeigt die eindeutige ID der Warnung (6), die Sie in der Liste der konfigurierten E-Mail-Adressen in Tenable Identity Exposure unter System > Konfiguration > E-Mail finden.
