Integracja SIEM

Opcja 'Integracja SIEM' umożliwia przesyłanie danych z ADAuditPlus do zewnętrznego produktu SIEM lub do serwera Syslog w czasie rzeczywistym.

Możesz wybrać przesyłanie

• Wszystkich danych z ADAuditPlus w podziale na kategorie (z wyjątkiem raportów audytowych drukarek i zaawansowanych raportów GPO).
• Raportów audytowych techników ADAuditPlus.
• Alertów.

Przekazywanie danych ADAudit Plus do serwera Syslog

Syslog to usługa rejestrowania zdarzeń w systemach unix. Możesz również użyć tego ustawienia do przesyłania do odbiornika UDP lub TCP swojego SIEM.

Konfiguracja serwera Syslog:

• Demon Syslog działa domyślnie na UDP, porcie 514.
• Domyślne ustawienia można zmodyfikować w pliku konfiguracyjnym /etc/syslog.conf. Pamiętaj, aby zrestartować demon Syslog, aby zmiany zaczęły obowiązywać.

Kroki do włączenia rejestrowania Syslog w ADAuditPlus:

1. Kliknij zakładkę 'Admin' → 'Integracja SIEM'.
2. Zaznacz pole wyboru 'Włącz' i wybierz przycisk radiowy 'Syslog'.
3. Wprowadź nazwę serwera Syslog. Upewnij się, że serwer Syslog jest dostępny z serwera ADAuditPlus.
4. Wprowadź numer portu Syslog i protokół.
5. Wybierz standard Syslog i format danych, jak wymaga twój parser SIEM.
6. Po zapisaniu tej konfiguracji wybierz kategorie do przesyłania.

Mapowanie kluczy syslog w LogRhythm

ADAudit Plus przesyła szeroki zakres danych kluczy syslog. Poniżej wymieniono klucze, które są wspólne dla wszystkich audytowanych danych. Klucze dynamiczne, które zmieniają się w zależności od kategorii raportów, nie są wymienione w poniższej tabeli.

Klucz syslog	Kolumna ADAudit Plus
Kategoria	Kategoria ADAuditPlus
NUMER_ZDARZENIA	Numer Zdarzenia
NUMER_REKORDU	Numer Rekordu
UNIKALNY_ID	Unikalny ID
PROFIL_RAPORTU	Nazwa Profilu Raportu ADAuditPlus
PROFIL_ALERTU	Nazwa Profilu Alertu ADAuditPlus
ŹRÓDŁO Nazwa_Wyświetlania_Aplikacji	Źródło Zdarzenia
POZIOM	Poziom
CZAS_WYGGENEROWANIA	Czas Zdarzenia
TYPU_ZARZĄDZANIA_UŻYTKOWNIKAMI TYPU_ZARZĄDZANIA_GRUPAMI TYPU_OPERACJI TEKST_KLASY_OBIEKTU TEKST_TYPU_DOSTĘPU ZMODYFIKOWANE_PARAMETRY TYPU_ZARZĄDZANIA_COM KLASA_OBIEKTU TEKST_TYPU_ZMIAN	Typ Zdarzenia
UWAGI	Uwagi Zdarzenia
TEKST_TYPU_ZDARZENIA	Wynik Zdarzenia
FORMAT_MESSA GE	String Wiadomości ADAuditPlus
ŚCIEŻKA_POLECENIA Nazwa_Wyświetlania Nazwa_Pliku	Nazwa Pliku
ŚCIEŻKA_POLITYKI	Lokalizacja Pliku
Nazwa_Użytkownika_Klienta Nazwa_Użytkownika Nazwa_Logowania Nazwa_Aktora Nazwa_Użytkownika_Wywołującego Nazwa_Wyświetlania_Użytkownika	Nazwa Użytkownika / Nazwa Użytkownika Wywołującego
Nazwa_SID_Użytkownika_Wywołującego Nazwa_SID_Użytkownika	SID Użytkownika / Nazwa Użytkownika Wywołującego
DOMENA DOMENA_KONT DOMENA_MASZYNY_ZDARZENIA NAZWA_DOMENY_WYWOŁUJĄCEGO Nazwa_Najemcy	Nazwa Domeny / Nazwa Domeny Wywołującego
Nazwa_Hosta_Klienta Nazwa_Maszyyny_Zdarzenia INFORMACJE_O_URZĄDZENIU	Nazwa maszyny użytkownika / nazwa maszyny dzwoniącej
ACTOR_IP_ADDRESS CLIENT_MC_NAME CLIENT_IP_ADDRESS IP_ADDRESS	Adres IP maszyny użytkownika
ACCOUNT_NAME OBJECT_NAME_TEXT TARGET0_UPN	Nazwa docelowego użytkownika
TARGET0_NAME ACCOUNT_SID	SID docelowego użytkownika

Przekazywanie danych ADAudit Plus do zewnętrznego produktu SIEM: Splunk HTTP

Konfigurowanie Splunk Http Event Collector:

• Kliknij 'Ustawienia' → 'Wejścia danych' → 'Http Event Collector'.
• Kliknij 'Nowy token'. Podaj nazwę tokena (najlepiej ADAuditPlus) i pozostaw pozostałe wartości domyślne (dostosuj w razie potrzeby).
• Po zapisaniu konfiguracji zostanie wygenerowany token autoryzacji. Ten token musi być podany w konfiguracji ADAuditPlus.
• W 'Ustawieniach globalnych' na stronie 'Http Event Collector' włącz 'Wszystkie tokeny'.
• Możesz również dostosować 'Numer portu HTTP' i ustawienia 'SSL' w 'Ustawieniach globalnych'.

Kroki do włączenia przekazywania Splunk w ADAuditPlus:

1. Kliknij zakładkę 'Admin' → 'Integracja SIEM'.
2. Zaznacz pole wyboru 'Włącz' i wybierz przycisk radiowy 'Splunk'.
3. Wpisz nazwę serwera Splunk. Upewnij się, że serwer Splunk jest dostępny z serwera ADAuditPlus.
4. Wprowadź numer portu Http Event Collector Splunk oraz protokół.
5. Podaj token Http Event Collector wygenerowany w Splunk dla ADAuditPlus.
6. Po zapisaniu tej konfiguracji wybierz kategorie do przekazania.

Przekazywanie danych ADAudit Plus do zewnętrznego produktu SIEM: ArcSight

Kroki do włączenia przekazywania ArcSight w ADAuditPlus:

1. Kliknij zakładkę 'Admin' → 'Integracja SIEM'.
2. Zaznacz pole wyboru 'Włącz' i wybierz przycisk radiowy 'ArcSight'.
3. Wpisz nazwę serwera ArcSight. Upewnij się, że serwer ArcSight jest dostępny z serwera ADAuditPlus.
4. Wprowadź numer portu i protokół kolektora ArcSight.
5. Po zapisaniu tej konfiguracji wybierz kategorie do przekazania.

Mapowanie kluczy ArcSight CEF

Klucz CEF	Kolumna ADAuditPlus
cat	Kategoria ADAuditPlus
cn1	Numer zdarzenia
cn2	Numer rekordu
cn3	Unikalny identyfikator
cs1	Nazwa profilu raportu ADAuditPlus
cs4	Nazwa profilu alertu ADAuditPlus
cs3	Źródło zdarzenia
cs5	Ważność
rt	Czas zdarzenia
type	Typ zdarzenia
reason	Uwagi dotyczące zdarzenia
outcome	Wynik zdarzenia
msg	Tekst wiadomości ADAuditPlus
fileName	Nazwa pliku
fileLocation	Lokalizacja pliku
suser	Nazwa użytkownika / Nazwa użytkownika dzwoniącego
suid	User SID / Nazwa użytkownika dzwoniącego
sntdom	Nazwa domeny / Nazwa domeny dzwoniącego
shost	Komputer użytkownika / Nazwa komputera dzwoniącego
cs2	Adres IP komputera użytkownika
duser	Nazwa docelowego użytkownika
duid	Docelowy User SID

Aby wyszukać dane ADAuditPlus w swoim produkcie SIEM

Przekazywane zdarzenia ADAudit Plus można wyszukiwać, grupować w raporty i kategoryzować zgodnie z potrzebami w swoim produkcie SIEM.

• Zdarzenia z ADAuditPlus można łatwo oddzielić za pomocą pola 'SOURCE'.
• Każde zdarzenie dziennika będzie miało pole 'Category'. Możliwe wartości dla tego pola są definiowane w menu 'Wybierz kategorie do przesłania' na stronie konfiguracji.
• Znacznik czasu każdego zdarzenia będzie dostępny w polu 'TIME_GENERATED'.
• Inne pola dotyczące zdarzeń mogą się różnić w zależności od kategorii zdarzenia. Więc jeden regex może być utrzymywany dla każdej wymaganej kategorii w Twoim produkcie SIEM.