Microsoft Windows セキュリティ イベント ログ
JSA DSM for Microsoft Windows セキュリティ イベント ログは、Microsoft Windows システムから syslog イベントを受け取ります。Sysmon と Winlogbeat.json を含むすべてのイベントがサポートされています。
Microsoft オペレーティング システムからのイベント収集の場合、JSA は次のプロトコルをサポートします。
-
Syslog(Snare、BalaBit、およびその他のサードパーティのWindowsソリューションを対象としています)
-
転送。
-
TLS Syslog。
-
TCP マルチライン syslog
-
マイクロソフト イベント ログ (WMI)。 『Juniper Secure Analytics Vulnerability Manager User Guide』を参照してください。
-
Windows イベント ログ カスタム (WMI)。 『Juniper Secure Analytics Vulnerability Manager User Guide』を参照してください。
-
MSRPC (MSRPC 経由のマイクロソフト セキュリティ イベント ログ)。
-
ウィンコレクト。 『Juniper Secure Analytics WinCollectユーザーガイド』を参照してください。
-
WinCollect NetApp Data ONTAP. 『Juniper Secure Analytics WinCollectユーザーガイド』を参照してください。
-
AWS CloudWatch の Amazon Web Services プロトコル。
Azure ストレージ アカウントと Azure イベント ハブがあることを確認します。
-
省略可能: ストレージ アカウントを作成します。
メモ:イベント ハブに接続するには、ストレージ アカウントが必要です。
-
省略可能: イベント ハブを作成します。
JSA コンソールへの MSRPC プロトコルのインストール
Windows ホストからイベントを収集する前に、JSA コンソールに MSRPC プロトコル RPM をインストールする必要があります。
ジュニパーのダウンロードからJSAコンソールにMSRPCプロトコルRPMをダウンロードしてください。
-
JSAコンソールにrootユーザーとしてログインします。
-
MSRPCプロトコルRPMをJSAコンソールのディレクトリにコピーします。
-
次のコマンドを入力して、MSRPC プロトコル RPM をコピーしたディレクトリに移動します。
Cd <path_to_directory>
-
次のコマンドを入力して、MSRPC プロトコル RPM をインストールします。
yum –y install PROTOCOL-WindowsEventRPC-<version_number>.noarch.rpm
-
JSAコンソールの 「管理 」タブで、「 詳細設定>完全設定の展開)を選択します。
-
構成を展開したら、[ 詳細設定] > [Web サーバーの再起動] を選択します。
Windows ホスト上の MSRPC パラメータ
MSRPCを介したWindowsホストと JSA 間の通信を有効にするには、Microsoftリモートプロシージャコール(MSRPC)プロトコルのWindowsホストでリモートプロシージャコール(RPC)設定を構成します。
Windowsホストと JSA アプライアンス間でMSRPCを介した通信を有効にするには、管理者グループのメンバーである必要があります。
128 GBのRAMと40コア(Intel(R)Xeon(R) CPU E5-2680 v2 @ 2.80 GHz)を搭載した JSA イベントプロセッサー1624アプライアンスでのパフォーマンステストに基づくと、他のWindows以外のシステムからログを受信して処理すると同時に、8500イベント/秒(eps)のレートが正常に達成されました。ログ・ソースの制限は 500 です。
| 仕様 |
値 |
|---|---|
| メーカー |
イベントを収集するリモート プロシージャ プロトコルのオペレーティング システム依存型。 「 プロトコル・タイプ 」リストから次のいずれかのオプションを選択します。
|
| サポートされているバージョン |
ウィンドウズサーバー 2016 Windows Server 2012 (最新) Windows Server 2012 Core Windows Server 2008 (最新) ウィンドウズサーバー 2008 コア ウィンドウズ 10 (最新) ウィンドウズ 8 (最新) ウィンドウズ 7 (最新) ウィンドウズビスタ(最新) |
| 対象アプリケーション |
ログ・ソース当たり 100 EPS をサポートできる Windows オペレーティング・システム用のエージェントレス・イベント収集。 |
| サポートされるログ・ソースの最大数 |
管理対象ホスト(16xxまたは18xxアプライアンス)ごとに500のMSRPCプロトコルログソース |
| MSRPCの最大全体EPSレート |
管理対象ホストごとに 8500 EPS |
| 特別な機能 |
デフォルトで暗号化されたイベントをサポートします。 |
| 必要なアクセス許可 |
ログ・ソース・ユーザーは、 イベント・ログ・リーダー・ グループのメンバーである必要があります。このグループが構成されていない場合、ほとんどの場合、ドメイン全体で Windows イベント ログをポーリングするには、ドメイン管理者特権が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法によっては、 バックアップ オペレーター グループを使用することもできます。 Windows XP および 2003 オペレーティング システムのユーザーには、次のレジストリ キーへの読み取りアクセス権が必要です。
|
| サポートされているイベント・タイプ |
アプリケーション システム セキュリティ DNSサーバー ファイルレプリケーション ディレクトリ サービスのログ |
| Windows のサービス要件 |
Windows Server 2008 および Windows Vista では、次のサービスを使用します。
Windows 2003 の場合は、リモート レジストリとサーバーを使用します。 |
| Windows ポートの要件 |
Windowsホストと JSA アプライアンスの間の外部ファイアウォールが、次のポートで着信および発信TCP接続を許可するように設定されていることを確認します。 Windows Server 2008 および Windows Vista では、次のポートを使用します。
Windows 2003 では、次のポートを使用します。
|
| 自動的に検出されますか? |
いいえ |
| アイデンティティを含みますか? |
はい |
| カスタムプロパティが含まれていますか? |
Windows カスタム イベント プロパティを含むセキュリティ コンテンツ パックは 、https://support.juniper.net/support/downloads/ で利用できます。 |
| 必要な RPM ファイル |
PROTOCOL-WindowsEventRPC-JSA-version-Build_number.noarch.rpm DSM-MicrosoftWindows-JSA-version-Build_number.noarch.rpm DSM-DSMCommon-JSA-version-Build_number.noarch.rpm |
| 詳細情報 |
|
| 利用可能なトラブルシューティングツール |
MSRPC テスト ツールは、MSRPC プロトコル RPM の一部です。MSRPC プロトコル RPM のインストール後、MSRPC テスト ツールは / opt/ qradar/jars にあります。 |
マイクロソフト Windows セキュリティ イベント ログの MSRPC ログ ソース パラメータに対するマイクロソフト セキュリティ イベント ログ
JSA がログ ソースを自動的に検出しない場合は、MSRPC プロトコル経由のマイクロソフト セキュリティ イベント ログを使用して、JSA コンソールに Microsoft Windows セキュリティ イベント ログ ログ ソースを追加します。
MSRPC プロトコル経由でマイクロソフト セキュリティ イベント ログを使用する場合は、使用する必要がある特定のパラメーターがあります。
次の表では、Microsoft Windows セキュリティ イベント ログから MSRPC イベントに対するマイクロソフト セキュリティ イベント ログを収集するために特定の値を必要とするパラメーターについて説明します。
| パラメーター |
値 |
|---|---|
| ログ・ソース・タイプ |
Microsoft Windows セキュリティ イベント ログ |
| プロトコル設定 |
MSRPC上のマイクロソフトセキュリティイベントログ |
| ログ・ソースID |
Microsoft Windows セキュリティー・イベント・ログ・デバイスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。 |
MSRPC テスト ツールを使用した接続の問題の診断
MSRPCテストツールを使用して、JSAapplianceとWindowsホスト間の接続を確認します。
PROTOCOL-WindowsEventRPC-<version_number>がJSAアプライアンスにインストールされていることを確認します。
MSRPCテストツールは、接続の問題のトラブルシューティングや、ホストとJSAアプライアンス間の初期接続をテストして、ホストが正しく設定されていることを確認するために使用できます。表 1 に、MSRPC テスト ツールのオプション フラグを示します。
| フラグ |
説明 |
|---|---|
| -?または --help |
MSRPC ツールのヘルプと使用法の情報を表示します。 |
| -B |
デバッグ情報を表示します (使用可能な場合)。 |
| -D <domain> |
アクティブディレクトリドメイン、またはワークグループ内の場合はホスト名。 |
| -E <protocol> |
イベント ログリモート処理プロトコル。 値: MSEVEN、MSEVEN6、および自動 デフォルト: 自動 |
| -H <hostname/ip> |
Windows ホストのホスト名または IP アドレス。 |
| -P <password> |
パスワード |
| -U <username> |
名 |
| -W <poll> |
ポーリング モード。1 つ以上のイベント ログ チャネルを指定します。 値: セキュリティ、システム、アプリケーション、DNS サーバー、ファイル レプリケーション サービス、ディレクトリ サービス 複数の値はコンマで区切ります。例:アプリケーション、セキュリティ。 デフォルト: セキュリティ |
-
JSAコンソールにログインします。
-
MSRPC テスト ツールを使用するには、次のコマンドを入力します。
cd /opt/qradar/jars
-
JSA と Windows ホスト間の接続をテストするには、次のコマンドを入力します。
java -jar Q1MSRPCTest.jar
-
オプション: その他の使用オプションについては、java -jar Q1MSRPCTest.jar --help と入力します。
Windows ホスト上の WMI パラメーター
Windows ホストと JSA 間の通信を有効にするには、Windows 管理インストルメンテーション (WMI) を使用できます。
WMI/DCOM Windows ホストおよび JSA アプライアンスを設定するには、リモート コンピュータの管理者グループのメンバーである必要があります。
Microsoft セキュリティ イベント ログ プロトコル (WMI) は、50 を超える EPS が必要なイベント収集や、サテライトや低速 WAN ネットワークなどの低速ネットワーク接続経由のサーバーには推奨されません。低速接続によって発生するネットワーク遅延は、リモート・サーバーで使用可能な EPS スループットを低下させます。より高速な接続では、代わりに MSRPC を使用できます。ネットワークのラウンドトリップ遅延時間を短縮できない場合は、WinCollect などのエージェントを使用することをお勧めします。
| 仕様 |
値 |
|---|---|
| メーカー |
マイクロソフト |
| DSM 名 |
Windows セキュリティ イベント ログ |
| サポートされているバージョン |
ウィンドウズサーバー 2016 ウィンドウズ 2012 (最新) Windows Server 2012 Core Windows Server 2008 (最新) ウィンドウズ 10 (より最近) ウィンドウズ 8 (より最近) ウィンドウズ 7 (最新) ウィンドウズビスタ(最新) |
| 特別な機能 |
デフォルトで暗号化されたイベントをサポートします。 |
| 対象アプリケーション |
ログ・ソースごとに 50 EPS が可能な WMI 経由の Windows オペレーティング・システム用のエージェントレス・イベント収集。
メモ:
これはレガシープロトコルです。ほとんどの場合、新しいログ ソースは、MSRPC プロトコル経由の Microsoft セキュリティ イベント ログを使用して構成する必要があります。 |
| 特別な構成手順 |
Windows 7 イベントをリモートで取得するための DCOM と WMI の構成 (http://www.ibm.com/support/docview.wss?uid=swg21678809) Windows 8 および Windows 2012 イベントをリモートで取得するための DCOM および WMI の構成 (http://www.ibm.com/support/docview.wss?uid=swg21681046) |
| Windows ポートの要件 |
WindowsホストとJSAアプライアンスの間の外部ファイアウォールが、次のポートで受信および送信TCP接続を許可するように設定されていることを確認する必要があります。
|
| Windows のサービス要件 |
次のサービスを自動的に開始するように構成する必要があります。
|
| ログ・ソースの許可 |
ログ・ソース・ユーザーは、 イベント・ログ・リーダー・ グループのメンバーである必要があります。このグループが構成されていない場合、ほとんどの場合、ドメイン全体で Windows イベント ログをポーリングするには、ドメイン管理者特権が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法によっては、 バックアップ オペレーター グループを使用することもできます。 ログ・ソース・ユーザーは、以下のコンポーネントにアクセスできる必要があります。
|
| サポートされているイベント・タイプ |
アプリケーション システム セキュリティ DNSサーバー ファイルレプリケーション ディレクトリ サービスのログ |
| 自動的に検出されますか? |
いいえ、ログ・ソースを手動で作成する必要があります |
| アイデンティティを含みますか? |
はい |
| カスタムプロパティが含まれていますか? |
Windows カスタム・イベント・プロパティーを含むセキュリティー・コンテンツ・パックは、IBM Fix Central で入手できます。 |
| 必要な RPM ファイル |
PROTOCOL-WinCollectWindowsEventLog- JSA_release-Build_number.noarch.rpm DSM-MicrosoftWindows-JSA_release-Build_number.noarch.rpm DSM-DSMCommon-JSA_release-Build_number.noarch.rpm |
| 詳細情報 |
マイクロソフト サポート (support.microsoft.com/) |
| 利用可能なトラブルシューティング ツール |
はい、WMI テスト ツールは / opt/qradar/jars で利用できます。 |
マイクロソフト セキュリティ イベント ログ ログ Microsoft Windows セキュリティ イベント ログのソース パラメータ
JSA がログ・ソースを自動的に検出しない場合は、Microsoft セキュリティー・イベント・ログ・プロトコルを使用して、JSA コンソールに Microsoft Windows セキュリティー・イベント・ログ・ログ・ソースを追加します。
Microsoft セキュリティ イベント ログ プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。
次の表では、Microsoft Windows セキュリティ イベント ログから Microsoft セキュリティ イベント ログ イベントを収集するために特定の値を必要とするパラメーターについて説明します。
| パラメーター |
値 |
|---|---|
| ログ・ソース・タイプ |
Microsoft Windows セキュリティ イベント ログ |
| プロトコル設定 |
マイクロソフト セキュリティ イベント ログ |
| ログ・ソースID |
Microsoft Windows セキュリティー・イベント・ログ・デバイスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。 |
| ドメイン |
Windows システムのドメインを入力します。 |
WindowsホストへのWinlogbeatとLogstashのインストール
JSAでWinlogbeat JSON形式のイベントを取得するには、Microsoft WindowsホストにWinlogbeatとLogstashをインストールする必要があります。
Windows x64 以降用の Oracle Java Development Kit V8 を使用していることを確認します。
-
デフォルト値を使用して Winlogbeat 7.7 をインストールします。詳細については、「 Winlongbeat の使用を開始する」を参照してください。
-
Winlogbeat サービスを開始します。
メモ:Windows サービスの場合、サービス名は winlogbeat です。インストール後、サービスは STOPPED に設定され、初めて開始する必要があります。このポイントを超える構成の変更には、サービスの再起動が必要です。
-
オプション。Winlogbeat を構成する際の柔軟性の詳細については、「 Winlongbeat のセットアップ」を参照してください。
-
パッケージをダウンロードし、選択したファイルの場所に保存して、Logstash をインストールします。
-
Winlogbeat が JSA と正しく通信できるようにするには、「 Logstash を使用するように Winlogbeat を構成する」を参照してください。
この <logstash_install_directory>/
configファイルでは、次の基本的なサンプル構成ファイルを使用できます。input { beats { port => 5044 } } output { tcp { host => ["172.16.199.22"] port => 514 mode => "client" codec => "json_lines" } stdout { codec => rubydebug } }メモ:rubydebug を使用している場合は、logstash.yml ファイルでデバッグを有効にする必要があります。行
# log.level: infoのコメントを解除し、 を に置き換えinfoますdebug。構成を変更した後は、サービスを再起動する必要があります。メモ:各イベントが
codec個別にJSAに送信されるように、入力出力を に設定json_linesする必要があります。メモ:Kafka 出力を既存の Kafka サーバーに送信する場合は、「 Kafka 出力を構成する」を参照してください。
-
Logstash のファイルが動作していることを確認し
configて、Logstash が正しくセットアップされていることを確認します。Logstashbinディレクトリから次のコマンドを実行します。logstash --config.test_and_exit -f <設定ファイルへのパス>
-
Winlogbeat が正しく構成されていることを確認します。
-
ディレクトリから次のコマンドを実行して、構成ファイルが
winlogbeat機能していることを確認します。./winlogbeat test config
-
-
ディレクトリから
winlogbeat次のコマンドを実行して、Winlogbeat が Logstash サーバーにアクセスできることを確認します。./winlogbeatテスト出力
コマンドの出力
./winlogbeat test outputが成功すると、Logstash への既存の接続が切断される可能性があります。接続が切断された場合は、Logstash サービスを再起動します。
Microsoft Windows セキュリティ イベント ログ ログ ソース パラメータ
Syslogプロトコルを使用して JSA コンソールでMicrosoft Windowsセキュリティ・イベント・ログ・ソースを追加する場合、特定のパラメーターを使用する必要があります。
次の表では、Microsoft Windows セキュリティ イベント ログから Syslog イベントを収集するために特定の値を必要とするパラメーターについて説明します。
| パラメーター |
値 |
|---|---|
| ログ・ソース・タイプ |
Microsoft Windows セキュリティ イベント ログ |
| プロトコル設定 |
Syslog |
| ログ・ソースID |
logstash サーバーのホスト ID。 |
Microsoft Windowsセキュリティイベントログから収集されるイベントでJSAがシステムユーザーと見なすユーザー名の設定
既定では、Microsoft Windows セキュリティ イベント ログのイベントでドル記号 ($) で終わるすべてのユーザー名はシステム ユーザーと見なされ、イベントの解析から除外されます。JSA がイベントを解析する方法を変更する場合は、DSM エディタを使用してシステム ユーザーを含めることができます。
-
[ 管理 ] タブをクリックします。
-
[データ ソース] セクションで、[DSM エディター] をクリックします。
-
「 ログ・ソース・タイプの選択 」ウィンドウで、リストから「 Windows セキュリティー・イベント・ログ 」を選択し、「 選択」をクリックします。
-
[構成] タブで、[DSM パラメーター構成の表示] を [オン] に設定します。
-
「イベント・コレクター」リストから、ログ・ソースの イベント・コレクター を選択します。
-
ドル記号 ($) で終わるユーザー名を常にシステム ユーザーと見なす場合は、[システム ユーザー 条件 ] パラメーター値を [ドル記号で終わるユーザー名はシステム ユーザーと見なされます] に設定します。
-
コンピューター名と一致する場合にのみ、ドル記号 ($) で終わるユーザー名をシステム ユーザーとして使用したい場合は、[システム ユーザー条件] パラメーター値を [コンピューター名と一致する場合はドル記号で終わるユーザー名をシステム ユーザーと見なす] に設定します。
ヒント:ユーザー名 (ドル記号を除く) がコンピューター名と等しい場合、またはコンピューター名が完全修飾ドメイン名の場合はコンピューター名のホスト コンポーネントである場合、ユーザー名はコンピューター名と一致すると見なされます。大文字と小文字は無視されます。たとえば、ユーザー名が HOST$ で、コンピューター名が host または host.example.com の場合、ユーザー名はコンピューター名と一致すると見なされます。
-
ドル記号 ($) で終わるユーザー名がシステム ユーザーと見なされないようにする場合は、[システム ユーザー 条件 ] パラメーター値を [ドル記号で終わるユーザー名はシステム ユーザーと見なされません] に設定します。
-
[ 保存 ] をクリックし、DSM エディターを閉じます。
ヒント:[ID を持つシステム ユーザーを含める] パラメーター値が [ID を持たないシステム ユーザーを含める] または [ID を持つシステム ユーザーを含める] に設定されている場合、[システム ユーザー条件] パラメーター値に関係なく、すべてのシステム ユーザーが解析に含まれます。
イベントでシステムユーザーを識別するためのJSA 7.3バージョンの設定
デフォルトでは、ドル記号($)で終わるすべてのユーザー名はシステムユーザーと見なされ、イベント解析から除外されます。JSA 7.3 バージョンでこれらのイベントをマップする方法を変更する場合は、コマンド ラインを使用してドル記号 ($) で終わるユーザー名を含めることができます。
-
SSHを使用して、JSAコンソールにrootユーザーとしてログインします。
新規プロパティー・ファイルを作成するか、既存のプロパティー・ファイルを編集するには、次のコマンドを入力します。
vi /opt/qradar/conf/WindowsAuthServer.properties-
ドル記号($)で終わるユーザー名を常にシステム ユーザーと見なす場合は、次のいずれかのオプションを選択します。
次の行を削除します。
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=trueまたは
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=falseステップ 3a の既存の行を次の行に置き換えます。
systemUserEndsWithDollarSign=truesystemUserMatchesComputerName=false
ドル記号 ($) で終わるユーザー名がコンピューター名と一致する場合にのみシステム ユーザーと見なされる場合は、テキスト ファイルに次の行を追加します。
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=trueヒント:ユーザー名 (ドル記号を除く) がコンピューター名と等しい場合、またはコンピューター名が完全修飾ドメイン名の場合はコンピューター名のホスト コンポーネントである場合、ユーザー名はコンピューター名と一致すると見なされます。大文字と小文字は無視されます。たとえば、ユーザー名が HOST$ で、コンピューター名が host または host.example.com の場合、ユーザー名はコンピューター名と一致すると見なされます。
ドル記号 ($) で終わるユーザー名がシステム ユーザーと見なされないようにするには、テキスト ファイルに次の行を追加します。
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=false-
変更を保存し、ターミナルを終了します。
-
イベント コレクション サービスを再起動します。詳しくは、 イベント・コレクション・サービスの再始動を参照してください。
Microsoft Windows セキュリティ イベント ログのサンプル イベント メッセージ
これらのサンプルイベントメッセージを使用して、 JSAとの統合が成功したことを確認します。
書式設定の問題のため、メッセージ形式をテキスト エディターに貼り付け、復帰文字または改行文字をすべて削除します。
WinCollect を使用する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
次のサンプルのイベント ID は 4624 で、送信元 IP アドレスが 10.0.0.1、宛先 IP が 10.0.0.2 の>ユーザーのログイン <account_nameが成功したことを示しています。
<13>May 08 10:45:44 microsoft.windows.test AgentDevice=WindowsLog
AgentLogFile=Security PluginVersion=7.2.9.108 Source=Microsoft-Windows-Security-Auditing
Computer=microsoft.windows.test OriginatingComputer=10.0.0.2 User= Domain=
EventID=4624 EventIDCode=4624 EventType=8 EventCategory=12544 RecordNumber=649155826
TimeGenerated=1588945541 TimeWritten=1588945541 Level=Log Always Keywords=Audit Success
Task=SE_ADT_LOGON_LOGON Opcode=Info Message=An account was successfully logged on.
Subject: Security ID: NT AUTHORITY\SYSTEM Account Name: account_name$ Account Domain:
account_domain Logon ID: 0x3E7 Logon Information: Logon Type: 10 Restricted Admin
Mode: No Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation
New Logon: Security ID: account_domain\account_name Account Name: account_name Account
Domain: domain_name Logon ID: 0x9A4D3C17 Linked Logon ID: 0x9A4D3CD6 Network Account
Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information: Process ID: 0x3e4 Process Name: C:\Windows\System32\svchost.exe
Network Information: Workstation Name: workstation_name Source Network Address: 10.0.0.1
Source Port: 0 Detailed Authentication Information: Logon Process: User32 Authentication
Package: Negotiate Transited Services: - Package Name (NTLM only): - Key Length: 0 This
event is generated when a logon session is created. It is generated on the computer that was
accessed. The subject fields indicate the account on the local system which requested the
logon. This is most commonly a service such as the Server service, or a local process such as
Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred.
The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate
the account for whom the new logon was created, i.e. the account that was logged on. The
network fields indicate where a remote logon request originated. Workstation name is not always
available and may be left blank in some cases. The impersonation level field indicates the
extent to which a process in the logon session can impersonate. The authentication information
fields provide detailed information about this specific logon request. - Logon GUID is a
unique identifier that can be used to correlate this event with a KDC event. - Transited
services indicate which intermediate services have participated in this logon request. -
Package name indicates which sub-protocol was used among the NTLM protocols. - Key length
indicates the length of the generated session key. This will be 0 if no session key was
requested.
次のサンプルには、送信元 IP アドレスが 10.0.0.1 のユーザーのログイン <target_user_name> が成功したことを示すイベント ID が 4624 があります。
<13>May 08 14:54:03 microsoft.windows.test AgentDevice=NetApp AgentLogFile=Security PluginVersion=7.2.9.108 Source=NetApp-Security-Auditing Computer=00000000-0000-000000005-000000000000/11111111-1111-1111-1111-111111111111 OriginatingComputer=00000000-0000-0000-0000-000000000000/11111111-1111-1111-1111-111111111111 User= Domain= EventID=4624 EventIDCode=4624 EventType=8 EventCategory=0 RecordNumber=6706 TimeGenerated=1588960308 TimeWritten=1588960308 Level=LogAlways Keywords=AuditSuccess Task=None Opcode=Info Message=IpAddress=10.0.0.1 IpPort=49155 TargetUserSID=S-0-0-00-00000000-0000000000-0000000000-0000 TargetUserName=target_user_name TargetUserIsLocal=false TargetDomainName=target_domain_name AuthenticationPackageName=NTLM_V2 LogonType=3 ObjectType=(null) HandleID=(null) ObjectName=(null) AccessList=(null) AccessMask=(null) DesiredAccess=(null) Attributes=(null)
Syslog を使用してスネア形式でログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
次のサンプルのイベント ID は 4724 で、アカウントのパスワードをリセットしようとしたこと、およびアカウント名 Administrator によってリセットが試行されたことを示しています。
JSA に送信するログは、タブ区切りにする必要があります。このサンプルのコードを切り取って貼り付ける場合は、変数が示す <tab> 場所で Tab キーを押してから、変数を削除してください。
<133>Aug 15 23:12:08 microsoft.windows.test MSWinEventLog<tab>1<tab>Security<tab>839<tab>Wed Aug 15 23:12:08 2012<tab>4724<tab>Microsoft-Windows-Security-Auditing<tab>user<tab>N/ A<tab>Success Audit<tab>w2k8<tab>User Account Management<tab>An attempt was made to reset an account's password. Subject: Security ID: subject_security_id Account Name: Administrator Account Domain: DOMAIN Logon ID: 0x5cbdf Target Account: Security ID: target_security_id Account Name: target_account_name Account Domain: DOMAIN 355
Syslog を使用して LEEF 形式でログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
次のサンプルのイベント ID は 8194 で、イベントによってユーザーによって <user_name> 開始されたボリューム シャドウ コピー サービス エラーが生成されたことを示しています。
<131>Apr 04 10:03:18 microsoft.windows.test LEEF:1.0|Microsoft|Windows|2k8r2|8194|
devTime=2019-04-04T10:03:18GMT+02:00 devTimeFormat=yyyy-MM-dd'T'HH:mm:ssz cat=Error
sev=2 resource=microsoft.windows.test usrName=domain_name\user_name application=Group
Policy Registry message=domain_name\user_name: Application Group Policy Registry: [Error]
The client-side extension could not apply computer policy settings for '00 - C - Domain -
Baseline (Enforced) {00000000-0000-0000-0000-000000000000}' because it failed with error code
'0x80070002 The system cannot find the file specified.' See trace file for more details.
(EventID 8194)
Syslog を使用して CEF 形式でログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
次のサンプルのイベント ID は 7036 Service Stopped で、サービスが停止状態になったことを示しています。
CEF:0|Microsoft|Microsoft Windows||Service Control Manager:7036|Service entered the stopped state|Low| eventId=132 externalId=7036 categorySignificance=/Normal categoryBehavior=/Execute/Response categoryDeviceGroup=/Operating System catdt=Operating System categoryOutcome=/Success categoryObject=/Host/Application/Service art=1358378879917 cat=System deviceSeverity=Information act=stopped rt=1358379018000 destinationServiceName=Portable Device Enumerator Service cs2=0 cs3=Service Control Manager cs2Label=EventlogCategory cs3Label=EventSource cs4Label=Reason or Error Code ahost=192.168.0.31 agt=192.168.0.31 agentZoneURI=/All Zones/example System/Private Address Space Zones/RFC1918: 192.168.0.0-192.168.255.255 av=5.2.5.6395.0 atz=Country/City_Name aid=00000000000000000000000\ \=\\= at=windowsfg dvchost=host.domain.test dtz=Country/City_Name _cefVer=0.1 ad.Key[0]=Portable Device Enumerator Service ad.Key[1]=stopped ad.User= ad.ComputerName=host.domain.test ad.DetectTime=2013-1-16 15:30:18 ad.EventS
Syslog を使用して Winlogbeat を使用してログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
次のサンプルには、NtpClient がタイム ソースとして使用する手動ピアを設定できなかったことを示す System のイベント ID があります。
{"@timestamp":"2017-02-13T01:54:07.745Z","beat":
{"hostname":"microsoft.windows.test","name":"microsoft.windows.test","version":"5.6.3"},"compute
r_name":"microsoft.windows.test","event_data":
{"DomainPeer":"time.windows.test,0x9","ErrorMessage":"No such host is known.
(0x80072AF9)","RetryMinutes":"15"},"event_id":134,"level":"Warning","log_name":"System","message
":"NtpClient was unable to set a manual peer to use as a time source because of DNS resolution
error on 'time.windows.test,0x9'. NtpClient will try again in 15 minutes and double the
reattempt interval thereafter. The error was: No such host is known.
(0x80072AF9)","opcode":"Info","process_id":996,"provider_guid":"{00000000-0000-0000-0000-0000000
00000}","record_number":"40292","source_name":"Microsoft-Windows-Time-
Service","thread_id":3312,"type":"wineventlog","user":{"domain":"NT
AUTHORITY","identifier":"user_identifier","name":"LOCAL SERVICE","type":"Well Known Group"}}
Syslog を使用して Azure Event Hubs を使用してログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
{"time":"2019-05-07T17:53:30.0648172Z","category":"WindowsEventLogsTable","level":"Informational
","properties":
{"DeploymentId":"00000000-0000-0000-0000-000000000000","Role":"IaaS","RoleInstance":"_role_insta
nce","ProviderGuid":"{00000000-0000-0000-0000-000000000000}","ProviderName":"Microsoft-Windows-
Security-
Auditing","EventId":5061,"Level":0,"Pid":700,"Tid":1176,"Opcode":0,"Task":12290,"Channel":"Secur
ity","Description":"Cryptographic operation.\r\n\r\nSubject:\r\n\tSecurity
ID:\t\tsecurity_id\r\n\tAccount Name:\t\taccount_name\r\n\tAccount
Domain:\t\tWORKGROUP\r\n\tLogon ID:\t\t0x3E7\r\n\r\nCryptographic Parameters:\r\n\tProvider
Name:\tMicrosoft Software Key Storage Provider\r\n\tAlgorithm Name:\tRSA\r\n\tKey
Name:\t{11111111-1111-1111-1111-111111111111}\r\n\tKey Type:\tMachine key.\r\n\r\nCryptographic
Operation:\r\n\tOperation:\tOpen Key.\r\n\tReturn Code:\t0x0","RawXml":"<Event xmlns='http://
schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-
Security-Auditing' Guid='{22222222-2222-2222-2222-222222222222}'/><EventID>5061</
EventID><Version>0</Version><Level>0</Level><Task>12290</Task><Opcode>0</
Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated
SystemTime='2019-05-07T17:53:30.064817200Z'/><EventRecordID>291478</EventRecordID><Correlation
ActivityID='{33333333-3333-3333-3333-333333333333}'/><Execution ProcessID='700' ThreadID='1176'/
><Channel>Security</Channel><Computer>computer_name</Computer><Security/></
System><EventData><Data Name='SubjectUserSid'>subject_user_sid</Data><Data
Name='SubjectUserName'>subject_user_name</Data><Data Name='SubjectDomainName'>WORKGROUP</
Data><Data Name='SubjectLogonId'>0x3e7</Data><Data Name='ProviderName'>Microsoft Software Key
Storage Provider</Data><Data Name='AlgorithmName'>RSA</Data><Data
Name='KeyName'>{44444444-4444-4444-4444-444444444444}</Data><Data Name='KeyType'>%%2499</
Data><Data Name='Operation'>%%2480</Data><Data Name='ReturnCode'>0x0</Data></EventData></
Event>"}}