Syslog-Warnmeldungen

Einige Unternehmen verwenden SIEM (Security Information and Event Management), um Protokolle über potenzielle Bedrohungen und Sicherheitsvorfälle zu erfassen. Tenable Identity Exposure kann Sicherheitsinformationen, die sich auf Active Directory beziehen, an die SIEM-Syslog-Server weiterleiten, um deren Warnmechanismen zu verbessern.

Syslog-Warnungen verwalten

Fügen Sie eine Warnung hinzu

  1. Klicken Sie in Tenable Identity Exposure auf System > Konfiguration > Syslog.

  2. Klicken Sie auf der rechten Seite auf die Schaltfläche SYSLOG-Warnung hinzufügen.

    Daraufhin öffnet sich der Bereich SYSLOG-Warnung hinzufügen.

  3. Geben Sie unter dem Abschnitt Hauptinformationen Folgendes an:

    • Wenn Ihr Netzwerk Secure Relay verwendet: Klicken Sie im Feld Relay auf den Pfeil, um aus der Dropdown-Liste ein Relay auszuwählen, das mit Ihrem SIEM kommunizieren soll.

    • Geben Sie im Feld IP-Adresse oder Hostname des Collectors die IP-Adresse oder den Hostnamen des Servers ein, der die Benachrichtigungen empfängt.

    • Geben Sie in das Feld Port die Portnummer für den Collector ein.

    • Klicken Sie im Feld Protokoll auf den Pfeil, um entweder UDP oder TCP auszuwählen.

      • Wenn Sie „TCP“ wählen, aktivieren Sie das Kontrollkästchen der Option TLS, wenn Sie das TLS-Sicherheitsprotokoll zur Verschlüsselung der Protokolle aktivieren möchten.

    • Geben Sie in das Feld Beschreibung eine kurze Beschreibung für den Collector ein.

  1. Wählen Sie in der Dropdown-Liste Warnung auslösen eine der folgenden Optionen:

    • Bei Änderungen: Tenable Identity Exposure sendet eine Benachrichtigung, wenn ein von Ihnen angegebenes Ereignis eintritt.

    • Bei jeder Abweichung: Tenable Identity Exposure sendet eine Benachrichtigung bei jeder abweichenden IoA-Erkennung.

    • Bei jedem Angriff: Tenable Identity Exposure sendet eine Benachrichtigung bei jeder abweichenden IoA-Erkennung.

    • Bei Integritätsprüfung-Statusänderung: Tenable Identity Exposure sendet eine Benachrichtigung, wenn sich der Status für eine Integrationsprüfung ändert.

  1. Klicken Sie in das Feld Profile, um das Profil auszuwählen, das für diese Syslog-Warnung verwendet werden soll (falls zutreffend).

  2. Warnungen senden, wenn während der anfänglichen Analysephase Abweichungen festgestellt werden: Führen Sie eine der folgenden Aktionen aus (falls zutreffend):

    • Kontrollkästchen aktiviert: Tenable Identity Exposure verschickt eine große Anzahl von Syslog-Meldungen, wenn ein Systemneustart Warnungen auslöst.

    • Kontrollkästchen deaktiviert: Tenable Identity Exposure verschickt keine Syslog-Meldungen, wenn ein Systemneustart Warnungen auslöst.

  1. Schweregrad-Schwellenwert: Klicken Sie auf den Pfeil des Dropdown-Feldes, um den Schwellenwert auszuwählen, bei dem Tenable Identity Exposure Warnungen sendet (falls zutreffend).

  2. Abhängig von dem zuvor ausgewählten Warnungsauslöser:

    • Ereignisänderungen: Wenn Sie festlegen, dass Warnungen bei Änderungen ausgelöst werden, geben Sie einen Ausdruck ein, um die Ereignisbenachrichtigung auszulösen.

      Sie können entweder auf das Symbol klicken, um den Suchassistenten zu verwenden, oder eine Abfrage in das Suchfeld eingeben und auf Validieren klicken. Weitere Informationen finden Sie unter Trail Flow-Abfragen anpassen.

      HinweisTenable Identity Exposure wendet diesen Filter an, sobald Ereignisse eingehen, um sie an Syslog weiterzuleiten, bevor eine zusätzliche Sicherheitsanalyse durchgeführt wird. Dies bedeutet, dass Filter, die auf angereicherten oder nachverarbeiteten Daten basieren, zu diesem Zeitpunkt nicht funktionieren.

    • Indicators of Exposure: Wenn Sie festgelegt haben, dass Warnungen bei jeder Abweichung ausgelöst werden, klicken Sie auf den Pfeil neben den einzelnen Schweregradstufen, um die Liste der Indicators of Exposure zu erweitern und die Indikatoren auszuwählen, für die Warnungen gesendet werden sollen.

    • Indicators of Attack: Wenn Sie festgelegt haben, dass Warnungen bei jedem Angriff ausgelöst werden, klicken Sie auf den Pfeil neben jeder Schweregradstufe, um die Liste der Indicators of Attack zu erweitern und die Indikatoren auszuwählen, für die Warnungen gesendet werden sollen.

    • Bei Integritätsprüfung-Statusänderung: Klicken Sie auf Integritätsprüfungen, um den Typ der Integritätsprüfung auszuwählen, bei dem eine Warnung ausgelöst werden soll. Klicken Sie dann auf Auswahlbasierter Filter.

  1. Klicken Sie auf das Feld Domänen, um die Domänen auszuwählen, für die Tenable Identity Exposure Warnungen versendet.

    Der Fensterbereich Gesamtstrukturen und Domänen wird angezeigt.

    1. Wählen Sie die Gesamtstruktur oder Domäne aus.

    2. Klicken Sie auf Auswahlbasierter Filter.

  1. Klicken Sie auf Konfiguration testen.

    Eine Meldung bestätigt, dass Tenable Identity Exposure eine Syslog-Warnung an den Server gesendet hat.

  2. Klicken Sie auf Hinzufügen.

    Eine Meldung bestätigt, dass Tenable Identity Exposure die Syslog-Warnung erstellt hat.

Warnung bearbeiten

  1. Klicken Sie in Tenable Identity Exposure auf System > Konfiguration > Syslog.

  2. Fahren Sie mit dem Mauszeiger in der Liste der Syslog-Warnungen über die Warnung, die Sie ändern möchten, und klicken Sie auf das Symbol am Ende der Zeile.

    Daraufhin öffnet sich der Bereich SYSLOG-Warnung bearbeiten.

  3. Nehmen Sie die erforderlichen Änderungen wie in der vorherigen Vorgehensweise „So fügen Sie eine neue Syslog-Warnung hinzu“ beschrieben vor.

  4. Klicken Sie auf Bearbeiten.

    Eine Meldung bestätigt, dass Tenable Identity Exposure die Warnung aktualisiert hat.

Eine Warnung löschen

  1. Klicken Sie in Tenable Identity Exposure auf System > Konfiguration > Syslog.

  2. Fahren Sie mit dem Mauszeiger in der Liste der Syslog-Warnungen über die Warnung, die Sie löschen möchten, und klicken Sie auf das Symbol am Ende der Zeile.

    In einer Meldung werden Sie aufgefordert, den Löschvorgang zu bestätigen.

  3. Klicken Sie auf Löschen.

    Eine Meldung bestätigt, dass Tenable Identity Exposure die Warnung gelöscht hat.

Ordnen Sie Syslog-Daten einer Tenable Identity Exposure -Warnung zu

In diesem Verfahren wird erläutert, wie Sie Syslog-Daten aus Ihrem SIEM-System zu Tenable Identity Exposure -Angriffswarnungen zuordnen.

Beispiel:

Kopieren 
<116>feb  04 10:31:01 qradar.alsid.app TenableAD[4]: "2" "1337" "Alsid Forest" "alsid.corp" "DC Sync" "medium" "LABFAB-TOOLS" "10.200.200.5" "LABFAB-DC" "10.200.200.4" "user"="dcadmin" "dc_name"="LABFAB-DC"

Jedes Syslog-Ereignis von Tenable folgt einem Standardformat, in dem bestimmte Felder in Anführungszeichen (") eingeschlossen sind. Diese Felder stellen verschiedene Ereignisattribute dar, wie z. B. Warnungs-ID, Domäne, Bedrohungstyp, Risikostufe, Hostnamen, IP-Adressen und mehr.

Teil # Feldwert Beschreibung
1 feb 04 10:31:01 Zeitstempel (Ereigniszeit)
2 "2" Schweregradstufe
3 "1337" Warnungs-ID
4 "Alsid Forest" Name der Gesamtstruktur
5 "alsid.corp" Domänenname
6 "DC Sync" Angriff/Tenable-Codename
7 "medium" Risikostufe
8 "LABFAB-TOOLS" Hostname der Quelle
9 "10.200.200.5" IP-Adresse der Quelle
10 "LABFAB-DC" Hostname des Ziels (Ziel-DC)
11 "10.200.200.4" IP-Adresse des Ziels
12 "user"="dcadmin" Bei Angriff verwendetes Konto
13 "dc_name"="LABFAB-DC" Domänencontroller-Name

So ordnen Sie Syslog-Daten Angriffsinformationen zu:

  1. Nach Angriffs-Codename filtern: Wählen Sie Ereignisse mit dem Wert „DC Sync“ aus (Teil 6 – Angriffs-Codename).

  2. Nach Datum filtern: Grenzen Sie Ereignisse auf den Zeitstempel feb 04 10:31:01 ein (Teil 1 – Zeitstempel).

  3. Exaktem Zeitstempel entsprechen: Vergewissern Sie sich, dass der Zeitstempel des Ereignisses mit feb 04 10:31:01 übereinstimmt (Teil 1 – Zeitstempel).

  4. Quelle und Ziel überprüfen: Stellen Sie sicher, dass die Angriffsdetails übereinstimmen:

    • Quelle: „LABFAB-Tools“ „10.200.200.5“ (Teile 8 und 9)

    • Ziel: „LABFAB-DC“ „10.200.200.4“ (Teile 10 und 11)

Siehe auch