Click here to shrink
    Click here to expand Click here to expand

    SIEM-Integration

    Die Option 'SIEM-Integration' ermöglicht es Ihnen, Daten von ADAuditPlus in Echtzeit an ein externes SIEM-Produkt oder einen Syslog-Server weiterzuleiten.

    Sie können wählen, ob Sie weiterleiten möchten:

    • Alle Datenkategorien von ADAuditPlus (außer Drucker-Auditberichte und erweiterte GPO-Berichte).
    • ADAuditPlus Techniker-Auditberichte.
    • Warnungen.

    Weiterleitung von ADAudit Plus-Daten an einen Syslog-Server

    Syslog ist der Ereignisprotokolldienst in Unix-Systemen. Sie können diese Einstellung auch verwenden, um an den UDP- oder TCP-Empfänger Ihres SIEM weiterzuleiten.

    Konfigurieren eines Syslog-Servers:

    • Der Syslog-Daemon läuft standardmäßig über UDP, Port 514.
    • Die Standard Einstellungen können in der Konfigurationsdatei /etc/syslog.conf geändert werden. Denken Sie daran, den Syslog-Daemon neu zu starten, damit die Änderungen wirksam werden.

    Schritte zur Aktivierung der Syslog-Protokollierung in ADAuditPlus:

    1. Klicken Sie auf die Registerkarte 'Admin' → 'SIEM-Integration'.
    2. Aktivieren Sie die Checkbox 'Aktivieren' und wählen Sie den Radiobutton 'Syslog'.
    3. Geben Sie den Namen des Syslog-Servers ein. Stellen Sie sicher, dass der Syslog-Server vom ADAuditPlus-Server erreichbar ist.
    4. Geben Sie die Syslog-Portnummer und das Protokoll ein.
    5. Wählen Sie den Syslog-Standard und das Datenformat, wie es von Ihrem SIEM-Parser benötigt wird.
    6. Nachdem Sie diese Konfiguration gespeichert haben, wählen Sie die Kategorien aus, die weitergeleitet werden sollen.

    LogRhythm Syslog-Schlüsselzuordnung

    ADAudit Plus leitet eine Vielzahl von Syslog-Schlüsseldaten weiter. Im Folgenden sind die Schlüsselzuordnungen aufgeführt, die bei allen protokollierten Daten üblich sind. Dynamische Schlüssel, die je nach Berichtskategorie variieren, sind in der folgenden Tabelle nicht aufgeführt.

    Syslog-Schlüssel ADAudit Plus-Spalte
    Kategorie ADAuditPlus-Kategorie
    EVENT_NUMBER Ereignisnummer
    RECORD_NUMBER Datensatznummer
    UNIQUE_ID Eindeutige ID
    REPORT_PROFILE ADAuditPlus-Berichtsprofilname
    ALERT_PROFILE ADAuditPlus-Alarmprofilname

    SOURCE

    APP_DISPLAY_NAME

    		 Ereignisquelle
    SEVERITY Schweregrad
    TIME_GENERATED Ereigniszeit

    USER_MGMT_TYPE

    GROUP_MGMT_TYPE

    OPERATION_TYPE

    OBJECT_CLASS_TEXT

    ACCESS_TYPE_TEXT

    MODIFIED_PROPS

    COMP_MGMT_TYPE

    OBJECT_CLASS

    CHANGE_TYPE_TEXT

    		 Ereignistyp
    REMARKS Ereignisanmerkungen
    EVENT_TYPE_TEXT Ereignisausgang
    FORMAT_MESSA GE ADAuditPlus-Nachrichtzeichenfolge

    COMMAND_PATH

    DISPLAY_NAME

    FILE_NAME

    		 Dateiname
    POLICY_PATH Dateistandort

    CLIENT_USER_NAME

    USERNAME

    LOGIN_NAME

    ACTOR_NAME

    CALLER_USER_NAME

    USER_DISPLAY_NAME

    		 Benutzername / Anrufer-Benutzername

    CALLER_USER_SID

    USER_SID

    		 Benutzer-SID / Anrufer-Benutzername

    DOMAIN

    ACCOUNT_DOMAIN

    EVENT_MACHINE_DOMAIN CALLER_USER_DOMAIN

    TENANT_NAME

    		 Domänenname / Anrufer-Domänenname

    CLIENT_HOST_N AME

    EVENT_MACHINE _NAME

    DEVICE_INFO

    		 Benutzer-Computer / Anrufer-Computername

    ACTOR_IP_ADDRESS

    CLIENT_MC_NAME

    CLIENT_IP_ADDRESS

    IP_ADDRESS

    		 IP-Adresse des Benutzercomputers

    ACCOUNT_NAME

    OBJECT_NAME_TEXT

    TARGET0_UPN

    		 Zielbenutzername

    TARGET0_NAME

    ACCOUNT_SID

    		 Zielbenutzer-SID

    Weiterleitung von ADAudit Plus-Daten an ein externes SIEM-Produkt: Splunk HTTP

    Konfigurieren des Splunk Http Event Collectors:

    • Klicken Sie auf 'Einstellungen' → 'Daten-Eingaben' → 'Http Event Collector'.
    • Klicken Sie auf 'Neues Token'. Geben Sie einen Namen für das Token ein (vorzugsweise ADAuditPlus) und lassen Sie den Rest auf den Standardwerten (bei Bedarf anpassen).
    • Nach dem Speichern der Konfiguration wird ein Auth-Token generiert. Dieses Token muss in der ADAuditPlus-Konfiguration angegeben werden.
    • Unter 'Globale Einstellungen' auf der Seite 'Http Event Collector' aktivieren Sie 'Alle Tokens'.
    • Sie können auch die Einstellungen für 'Http-Portnummer' und 'SSL' nach Bedarf in den 'Globalen Einstellungen' anpassen.

    Schritte zur Aktivierung der Splunk-Weiterleitung in ADAuditPlus:

    1. Klicken Sie auf die Registerkarte 'Admin' → 'SIEM-Integration'.
    2. Aktivieren Sie das Kontrollkästchen 'Aktivieren' und wählen Sie die Option 'Splunk'.
    3. Geben Sie den Namen des Splunk-Servers ein. Stellen Sie sicher, dass der Splunk-Server vom ADAuditPlus-Server erreichbar ist.
    4. Geben Sie die Portnummer und das Protokoll des Splunk Http Event Collectors ein.
    5. Geben Sie das in Splunk generierte Http Event Collector-Token für ADAuditPlus an.
    6. Nach dem Speichern dieser Konfiguration wählen Sie die Kategorien aus, die weitergeleitet werden sollen.

    Weiterleitung von ADAudit Plus-Daten an ein externes SIEM-Produkt: ArcSight

    Schritte zur Aktivierung der ArcSight-Weiterleitung in ADAuditPlus:

    1. Klicken Sie auf die Registerkarte 'Admin' → 'SIEM-Integration'.
    2. Aktivieren Sie das Kontrollkästchen 'Aktivieren' und wählen Sie die Option 'ArcSight'.
    3. Geben Sie den Namen des ArcSight-Servers ein. Stellen Sie sicher, dass der ArcSight-Server vom ADAuditPlus-Server erreichbar ist.
    4. Geben Sie die Portnummer und das Protokoll des ArcSight-Collectors ein.
    5. Nach dem Speichern dieser Konfiguration wählen Sie die Kategorien aus, die weitergeleitet werden sollen.

    ArcSight CEF Schlüsselmappings

    CEF Schlüssel ADAuditPlus Spalte
    cat ADAuditPlus Kategorie
    cn1 Eventnummer
    cn2 Datensatznummer
    cn3 Einmalige ID
    cs1 ADAuditPlus Bericht-Profilname
    cs4 ADAuditPlus Alarm-Profilname
    cs3 Event-Quelle
    cs5 Schweregrad
    rt Event-Zeit
    type Event-Typ
    reason Event-Anmerkungen
    outcome Event-Ergebnis
    msg ADAuditPlus Nachricht-String
    fileName Dateiname
    fileLocation Dateispeicherort
    suser Benutzername / Anrufer-Benutzername
    suid Benutzer-SID / Anrufer-Benutzername
    sntdom Domänenname / Anrufer-Domänenname
    shost Benutzermaschine / Anrufer-Maschinenname
    cs2 IP-Adresse der Benutzermaschine
    duser Zielbenutzername
    duid Zielbenutzer-SID

    Die weitergeleiteten ADAudit Plus-Ereignisse können in Ihrem SIEM-Produkt durchsucht, in Berichte gruppiert und nach Bedarf kategorisiert werden.

    • Ereignisse von ADAuditPlus können einfach über das Feld 'SOURCE' getrennt werden.
    • Jedes Protokollereignis hat ein Feld 'Kategorie'. Die möglichen Werte für dieses Feld sind im Menü 'Wählen Sie Kategorien zum Weiterleiten' auf der Konfigurationsseite definiert.
    • Der Zeitstempel jedes Ereignisses steht im Feld 'TIME_GENERATED' zur Verfügung.
    • Andere Felder, die zu Ereignissen gehören, können je nach Ereigniskategorie variieren. Daher kann ein regulärer Ausdruck für jede der erforderlichen Kategorien in Ihrem SIEM-Produkt beibehalten werden.

    Auf dieser Seite

    Dies ist eine AI-generierte Website. Bei Fragen oder Unterstützung wenden Sie sich bitte an uns.

    Get download link