Microsoft Windowsセキュリティイベントログ
JSA DSM for Microsoft Windowsセキュリティイベントログは、Microsoft Windowsシステムからのsyslogイベントを受け入れます。Sysmon と Winlogbeat.json を含むすべてのイベントがサポートされます。
Microsoft オペレーティング システムからのイベント収集の場合、JSA は次のプロトコルをサポートします。
-
Syslog(Snare、BalaBit、およびその他のサードパーティ製Windowsソリューション用)
-
転送済み。
-
TLS Syslog
-
TCPマルチラインsyslog。
-
Microsoft イベント ログ(WMI)。 『ジュニパー Secure Analytics 脆弱性管理ユーザーガイド』を参照してください。
-
Windows イベント ログ カスタム (WMI)。 『ジュニパー Secure Analytics 脆弱性管理ユーザーガイド』を参照してください。
-
MSRPC (MSRPC 上の Microsoft セキュリティ イベント ログ)。
-
WinCollectです。 『ジュニパー Secure Analytics WinCollect ユーザーガイド』を参照してください。
-
WinCollect NetApp Data ONTAP。 『ジュニパー Secure Analytics WinCollect ユーザーガイド』を参照してください。
-
AWS CloudWatch の Amazon Web Services プロトコル。
Azure ストレージ アカウントと Azure イベント ハブがあることを確認します。
-
オプション: ストレージ アカウントを作成します。
注:イベント ハブに接続するには、ストレージ アカウントが必要です。
-
オプション: イベント ハブを作成します。
JSAコンソールでのMSRPCプロトコルのインストール
Windows ホストからイベントを収集する前に、JSA コンソールに MSRPC プロトコル RPM をインストールする必要があります。
MSRPCプロトコルRPMを ジュニパーダウンロード から JSA コンソールにダウンロードしてください。
-
JSAコンソールにrootユーザーとしてログインします。
-
MSRPC プロトコル RPM を JSA コンソールのディレクトリにコピーします。
-
次のコマンドを入力して、MSRPC プロトコル RPM をコピーしたディレクトリに移動します。
CD <path_to_directory>
-
次のコマンドを入力して、MSRPCプロトコルRPMをインストールします。
yum –y install PROTOCOL-WindowsEventRPC-<version_number>.noarch.rpm
-
JSAコンソールの 管理 タブから、 詳細設定>完全設定の展開を選択します。
-
設定を展開したら、[ 詳細設定] >[Web サーバーの再起動] を選択します。
WindowsホストのMSRPCパラメーター
MSRPC を介して Windows ホストと JSA 間の通信を有効にするには、Microsoft リモート プロシージャ コール (MSRPC) プロトコル用に Windows ホストでリモート プロシージャ コール (RPC) 設定を構成します。
Windows ホストと JSA アプライアンスの間で MSRPC を介した通信を有効にするには、管理者グループのメンバーである必要があります。
128 GB の RAM と 40 コア (Intel(R) Xeon(R) CPU E5-2680 v2 @ 2.80 GHz) を搭載した JSA Event Processor 1624 アプライアンスのパフォーマンステストに基づいて、他の非 Windows システムからのログの受信と処理を同時に行いながら、8500 イベント/秒 (eps) の速度を正常に達成しました。ログソースの上限は500です。
| 仕様 |
値 |
|---|---|
| メーカー |
イベント収集用のリモートプロシージャプロトコルのオペレーティングシステム依存タイプ。 プロトコル タイプ リストから以下のオプションの1つを選択します。
|
| サポートされているバージョン |
Windows Server 2016 Windows Server 2012 (最新) Windows Server 2012 コア Windows Server 2008 (最新) Windows Server 2008 コア Windows 10(最新) Windows 8(最新) Windows 7(最新) Windows Vista (最新) |
| 使用目的 |
ログソースあたり100 EPSをサポートできるWindowsオペレーティングシステム用のエージェントレスイベント収集。 |
| サポートされるログソースの最大数 |
各管理対象ホスト(16xxまたは18xxアプライアンス)に対して500MSRPCプロトコルログソース |
| MSRPCの最大総EPSレート |
管理対象ホストごとに8500 EPS |
| 特別な機能 |
デフォルトで暗号化されたイベントをサポートします。 |
| 必要な権限 |
ログソースユーザーは、 イベントログリーダー グループのメンバーである必要があります。このグループが設定されていない場合、ほとんどの場合、ドメイン全体でWindowsイベントログをポーリングするためにドメイン管理者権限が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法に応じて、 バックアップ オペレーター グループも使用できます。 Windows XP および 2003 オペレーティング システムのユーザーは、次のレジストリ キーへの読み取りアクセスが必要です。
|
| サポートされているイベントタイプ |
アプリケーション システム セキュリティ DNSサーバー ファイルレプリケーション ディレクトリサービスログ |
| Windows サービス要件 |
Windows Server 2008 および Windows Vista の場合は、次のサービスを使用します。
Windows 2003 の場合は、リモート レジストリとサーバーを使用します。 |
| Windowsポート要件 |
Windowsホストと JSA アプライアンスの間の外部ファイアウォールが、以下のポートでの着信および発信TCP接続を許可するように構成されていることを確認します。 Windows Server 2008 および Windows Vista の場合は、次のポートを使用します。
Windows 2003 の場合は、次のポートを使用します。
|
| 自動的に検出されますか? |
いいえ |
| アイデンティティを含めますか? |
はい |
| カスタムプロパティが含まれていますか? |
Windows カスタム イベント プロパティを含むセキュリティ コンテンツ パックは、 https://support.juniper.net/support/downloads/ で利用できます。 |
| 必要なRPMファイル |
プロトコル-WindowsイベントRPC-JSA-version-Build_number.noarch.rpm DSM-MicrosoftWindows-JSA-version-Build_number.noarch.rpm DSM-DSMCommon-JSA-version-Build_number.noarch.rpm |
| 詳細情報 |
|
| 利用可能なトラブルシューティングツール |
MSRPC テスト ツールは、MSRPC プロトコル RPM の一部です。MSRPC プロトコル RPM のインストール後、MSRPC テストツールは /opt/ qradar/jars にあります。 |
Microsoft WindowsセキュリティイベントログのMSRPCログソースパラメーターを介したMicrosoft セキュリティイベントログ
JSA がログ ソースを自動的に検出しない場合は、MSRPC プロトコルを介した Microsoft セキュリティ イベント ログを使用して、JSA コンソールに Microsoft Windows セキュリティ イベント ログ ログ ソースを追加します。
MSRPC プロトコルを介して Microsoft セキュリティ イベント ログを使用する場合、使用する必要がある特定のパラメーターがあります。
次の表では、Microsoft Windows セキュリティ イベント ログから MSRPC イベントを介して Microsoft セキュリティ イベント ログを収集するために特定の値を必要とするセキュリティ イベント ログについて説明します。
| パラメータ |
値 |
|---|---|
| ログソースタイプ |
Microsoft Windowsセキュリティイベントログ |
| プロトコル設定 |
MSRPC による Microsoft セキュリティ イベント ログ |
| ログソース識別子 |
Microsoft Windowsセキュリティイベントログデバイスからのイベントの識別子として、ログソースのIPアドレスまたはホスト名を入力します。 |
MSRPC テスト ツールを使用した接続の問題の診断
MSRPC テスト ツールを使用して、JSAappliance と Windows ホスト間の接続を確認します。
PROTOCOL-WindowsEventRPC-<version_number>がJSAアプライアンスにインストールされていることを確認します。
MSRPC テスト ツールは、接続の問題のトラブルシューティングや、ホストと JSA アプライアンス間の初期接続をテストして、ホストが正しく構成されていることを確認するために使用できます。表 1 に、MSRPC テスト ツール オプション フラグを示します。
| フラグ |
説明 |
|---|---|
| -?または --help |
MSRPC ツールのヘルプと使用情報を表示します。 |
| -b |
デバッグ情報がある場合は、それを表示します。 |
| -d <domain> |
アクティブディレクトリドメイン、またはワークグループに属している場合はホスト名。 |
| -e <protocol> |
EventLog リモート処理プロトコル。 値:MSEVEN、MSEVEN6、AUTO デフォルト: 自動 |
| -h <hostname/ip> |
Windowsホストのホスト名またはIPアドレス。 |
| -p <password> |
パスワード |
| -u <username> |
ユーザー名 |
| -w <poll> |
ポーリングモード。1つ以上のイベントログチャネルを指定します。 値: セキュリティ、システム、アプリケーション、DNS サーバー、ファイル レプリケーション サービス、ディレクトリ サービス 複数の値はカンマで区切ります。例:アプリケーション、セキュリティ。 デフォルト: セキュリティ |
-
JSAコンソールにログインします。
-
MSRPC テスト ツールを使用するには、次のコマンドを入力します。
cd /opt/qradar/jars
-
JSAとWindowsホスト間の接続をテストするには、次のコマンドを入力します。
java -jar Q1MSRPCTest.jar
-
オプション: その他の使用オプションについては、「java -jar」Q1MSRPCTest.jar「--help」と入力します。
Windows ホストの WMI パラメーター
Windows ホストと JSA 間の通信を有効にするには、Windows Management Instrumentation (WMI) を使用できます。
WMI/DCOM Windows ホストと JSA アプライアンスを構成するには、リモート コンピューターの administrators グループのメンバーである必要があります。
Microsoft セキュリティ イベント ログ プロトコル (WMI) は、50 を超える EPS が必要なイベント収集や、サテライト ネットワークや低速 WAN ネットワークなどの低速ネットワーク接続を介したサーバーには推奨されません。接続の速度が遅いために発生するネットワーク遅延は、リモートサーバーで使用可能なEPSスループットを低下させます。より高速な接続は、代わりにMSRPCを使用できます。ネットワークの往復遅延時間を短縮できない場合は、WinCollect などのエージェントを使用することをお勧めします。
| 仕様 |
値 |
|---|---|
| メーカー |
マイクロソフト |
| DSM名 |
Windows セキュリティ イベント ログ |
| サポートされているバージョン |
Windows Server 2016 Windows 2012 (最新) Windows Server 2012 コア Windows Server 2008 (最新) Windows 10 (最新) Windows 8 (最新) Windows 7(最新) Windows Vista (最新) |
| 特別な機能 |
デフォルトで暗号化されたイベントをサポートします。 |
| 使用目的 |
ログソースあたり50 EPSに対応するWMIを介したWindowsオペレーティングシステムのエージェントレスイベント収集。
注:
これはレガシープロトコルです。ほとんどの場合、新しいログ ソースは、MSRPC プロトコルを介した Microsoft セキュリティ イベント ログを使用して構成する必要があります。 |
| 特別な設定手順 |
Windows 7 イベントをリモートで取得するための DCOM と WMI の構成 (http://www.ibm.com/support/docview.wss?uid=swg21678809) Windows 8 および Windows 2012 イベントをリモートで取得するための DCOM と WMI の構成 (http://www.ibm.com/support/docview.wss?uid=swg21681046) |
| Windowsポート要件 |
WindowsホストとJSAアプライアンスの間の外部ファイアウォールが、以下のポートでの着信および発信TCP接続を許可するように構成されていることを確認する必要があります。
|
| Windows サービス要件 |
以下のサービスを自動的に起動するように設定する必要があります。
|
| ログソースの権限 |
ログソースユーザーは、 イベントログリーダー グループのメンバーである必要があります。このグループが設定されていない場合、ほとんどの場合、ドメイン全体でWindowsイベントログをポーリングするためにドメイン管理者権限が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法に応じて、 バックアップ オペレーター グループも使用できます。 ログソースユーザーには、以下のコンポーネントへのアクセス権が必要です。
|
| サポートされているイベントタイプ |
アプリケーション システム セキュリティ DNSサーバー ファイルレプリケーション ディレクトリサービスログ |
| 自動的に検出されますか? |
いいえ。ログソースを手動で作成する必要があります |
| アイデンティティを含めますか? |
はい |
| カスタムプロパティが含まれていますか? |
Windows カスタム・イベント・プロパティーを含むセキュリティー・コンテンツ・パックは、 IBM Fix Centralで入手できます。 |
| 必要なRPMファイル |
PROTOCOL-WinCollectWindowsEventLog- JSA_release-Build_number.noarch.rpm DSM-MicrosoftWindows-JSA_release-Build_number.noarch.rpm DSM-DSMCommon-JSA_release-Build_number.noarch.rpm |
| 詳細情報 |
Microsoft サポート (support.microsoft.com/) |
| 利用可能なトラブルシューティングツール |
はい、WMI テストツールは /opt/qradar/jars で利用できます。 |
Microsoft セキュリティイベントログ Microsoft Windowsセキュリティイベントログのセキュリティイベントログソースパラメータ
JSA がログ ソースを自動的に検出しない場合は、Microsoft セキュリティ イベント ログ プロトコルを使用して、セキュリティ イベント ログ ログ ソースを JSA コンソールに追加します。
Microsoft セキュリティ イベント ログ プロトコルを使用する場合、使用する必要がある特定のパラメーターがあります。
次の表では、Microsoft Windows セキュリティ イベント ログから Microsoft セキュリティ イベント ログ イベントを収集するために特定の値を必要とするパラメーターについて説明します。
| パラメータ |
値 |
|---|---|
| ログソースタイプ |
Microsoft Windowsセキュリティイベントログ |
| プロトコル設定 |
Microsoft セキュリティ イベント ログ |
| ログソース識別子 |
Microsoft Windowsセキュリティイベントログデバイスからのイベントの識別子として、ログソースのIPアドレスまたはホスト名を入力します。 |
| ドメイン |
Windowsシステムのドメインを入力します。 |
Windows ホストへの Winlogbeat と Logstash のインストール
JSAでWinlogbeat JSON形式のイベントを取得するには、Microsoft WindowsホストにWinlogbeatとLogstashをインストールする必要があります。
Oracle Java Development Kit V8 for Windows x64以降を使用していることを確認します。
-
既定値を使用して Winlogbeat 7.7 をインストールします。詳細については、「 Winlongbeat の概要」を参照してください。
-
Winlogbeatサービスを開始します。
注:Windowsサービスの場合、サービス名はwinlogbeatです。インストール後、サービスは STOPPED に設定され、初めて開始する必要があります。この時点を超えて構成を変更する場合は、サービスを再起動する必要があります。
-
オプション。Winlogbeat を構成する際の柔軟性を高めるには、「 Winlongbeat の設定」を参照してください。
-
パッケージをダウンロードし、選択したファイルの場所に保存して、Logstash をインストールします。
-
Winlogbeat が JSA と正しく通信するようにするには、「 Logstash を使用するように Winlogbeat を構成する」を参照してください。
以下の基本的なサンプル設定ファイルを <logstash_install_directory>/
configファイルで使用できます。input { beats { port => 5044 } } output { tcp { host => ["172.16.199.22"] port => 514 mode => "client" codec => "json_lines" } stdout { codec => rubydebug } }注:rubydebugを使用している場合は、logstash.ymlファイルでデバッグを有効にする必要があります。行
# log.level: infoのコメントを解除し、infoをdebugに置き換えます。設定変更後は、サービスを再起動する必要があります。注:各イベントが個別にJSAに送信されるようにするには、出力の
codecをjson_linesに設定する必要があります。注:Kafka 出力を既存の Kafka サーバーに送信する場合は、 Kafka 出力の設定を参照してください。
-
Logstashの
configファイルが機能していることを確認して、Logstashが正しく設定されていることを確認します。Logstashbinディレクトリーから以下のコマンドを実行します。logstash --config.test_and_exit -f <構成ファイルへのパス>
-
Winlogbeat が正しく構成されていることを確認します。
-
winlogbeatディレクトリから次のコマンドを実行して、設定ファイルが機能していることを確認します。./winlogbeatテスト設定
-
-
winlogbeatディレクトリから次のコマンドを実行して、WinlogbeatがLogstashサーバーにアクセスできることを確認します。./winlogbeat テスト出力
./winlogbeat test outputコマンドの出力が成功すると、Logstashへの既存の接続が切断される可能性があります。接続が切断された場合は、Logstash サービスを再起動します。
Microsoft Windowsセキュリティイベントログログソースパラメーター
Syslog プロトコルを使用して JSA コンソールに Microsoft Windows セキュリティ イベント ログ ログ ソースを追加する場合、使用する必要がある特定のパラメーターがあります。
以下の表では、Microsoft WindowsセキュリティイベントログからSyslogイベントを収集するために特定の値を必要とするパラメーターについて説明します。
| パラメータ |
値 |
|---|---|
| ログソースタイプ |
Microsoft Windowsセキュリティイベントログ |
| プロトコル設定 |
Syslog |
| ログソース識別子 |
logstash サーバーのホスト ID。 |
Microsoft Windowsセキュリティイベントログから収集されたイベントでJSAがシステムユーザーと見なすユーザー名を構成する
既定では、Microsoft Windows セキュリティ イベント ログ イベント内のドル記号 ($) で終わるすべてのユーザー名はシステム ユーザーと見なされ、イベント解析から除外されます。JSA がイベントを解析する方法を変更する場合は、DSM エディターを使用してシステム ユーザーを含めることができます。
-
管理タブをクリックします。
-
「 データ・ソース 」セクションで、「 DSMエディター」をクリックします。
-
「 ログソースタイプの選択 」ウィンドウで、リストから 「Windowsセキュリティイベントログ 」を選択し、「 選択」をクリックします。
-
「 構成」 タブで、「 DSM パラメーター構成の表示」 を「オン」に設定します。
-
「 イベントコレクタ 」リストから、ログソースのイベントコレクタを選択します。
-
ドル記号($)で終わるユーザー名を常にシステムユーザーと見なす場合は、 システムユーザー基準 パラメーター値を ドル記号で終わるユーザー名はシステムユーザーと見なされるに設定します。
-
コンピューター名と一致する場合にのみ、ドル記号($)で終わるユーザー名をシステムユーザーとして使用する場合は、[システムユーザー基準]パラメーターの値を[コンピューター名と一致する場合は、ドル記号で終わるユーザー名はシステムユーザーと見なされる]に設定します。
ヒント:ユーザー名 (ドル記号を除く) がコンピュータ名と等しい場合、またはコンピュータ名が完全修飾ドメイン名の場合はコンピュータ名のホストコンポーネントと一致する場合、ユーザー名はコンピュータ名と一致すると見なされます。大文字と小文字は無視されます。例えば、ユーザー名が HOST$ で、コンピューター名が host または host.example.com の場合、ユーザー名はコンピューター名と一致すると見なされます。
-
ドル記号($)で終わるユーザー名をシステムユーザーとは見なさないようにするには、 システムユーザー基準 パラメーター値を ドル記号で終わるユーザー名はシステムユーザーとは見なされませんに設定します。
-
[保存] をクリックして DSM エディターを閉じます。
ヒント:「 アイデンティティを持つシステムユーザーを含める」 パラメータ値が「 アイデンティティのないシステムユーザーを含める 」または「 アイデンティティを持つシステムユーザーを含める」に設定されている場合、「 システムユーザー基準 」パラメータ値に関係なく、すべてのシステムユーザーが解析に含まれます。
イベントでシステムユーザーを識別するための JSA 7.3 バージョンの構成
デフォルトでは、ドル記号($)で終わるすべてのユーザー名はシステムユーザーと見なされ、イベント解析から除外されます。JSA 7.3 バージョンでこれらのイベントをマッピングする方法を変更する場合は、コマンド ラインを使用して、ドル記号 ($) で終わるユーザー名を含めることができます。
-
SSH を使用して、JSA コンソールに root ユーザーとしてログインします。
新しいプロパティ ファイルを作成するか、既存のプロパティ ファイルを編集するには、次のコマンドを入力します。
vi /opt/qradar/conf/WindowsAuthServer.properties-
ドル記号($)で終わるユーザー名を常にシステムユーザーと見なす場合は、以下のオプションのいずれかを選択します。
以下の行を削除します。
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=trueまたは
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=falseステップ 3a の既存の行を以下の行に置き換えます。
systemUserEndsWithDollarSign=truesystemUserMatchesComputerName=false
ドル記号($)で終わるユーザー名を、コンピューター名と一致する場合にのみシステムユーザーとして見なすようにするには、テキストファイルに次の行を追加します。
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=trueヒント:ユーザー名 (ドル記号を除く) がコンピュータ名と等しい場合、またはコンピュータ名が完全修飾ドメイン名の場合はコンピュータ名のホストコンポーネントと一致する場合、ユーザー名はコンピュータ名と一致すると見なされます。大文字と小文字は無視されます。例えば、ユーザー名がHOST$で、コンピューター名がhostまたは host.example.com の場合、ユーザー名はコンピューター名と一致すると見なされます。
ドル記号($)で終わるユーザー名をシステムユーザーとは見なさないようにするには、テキストファイルに次の行を追加します。
systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=false-
変更を保存してから、ターミナルを終了します。
-
イベント収集サービスを再始動します。
Microsoft Windowsセキュリティイベントログサンプルイベントメッセージ
これらのサンプルイベントメッセージを使用して、 JSAとの統合が成功したことを確認します。
書式設定の問題のため、メッセージ書式をテキストエディタに貼り付けてから、キャリッジ・リターン文字や改行文字を削除してください。
WinCollect を使用する場合の Microsoft Windows セキュリティー・イベント・ログ・サンプル・メッセージ
次のサンプルでは、イベントIDが4624で、送信元IPアドレスが10.0.0.1、宛先IPが10.0.0.2の <account_name>ユーザーのログインが成功したことを示しています。
<13>May 08 10:45:44 microsoft.windows.test AgentDevice=WindowsLog
AgentLogFile=Security PluginVersion=7.2.9.108 Source=Microsoft-Windows-Security-Auditing
Computer=microsoft.windows.test OriginatingComputer=10.0.0.2 User= Domain=
EventID=4624 EventIDCode=4624 EventType=8 EventCategory=12544 RecordNumber=649155826
TimeGenerated=1588945541 TimeWritten=1588945541 Level=Log Always Keywords=Audit Success
Task=SE_ADT_LOGON_LOGON Opcode=Info Message=An account was successfully logged on.
Subject: Security ID: NT AUTHORITY\SYSTEM Account Name: account_name$ Account Domain:
account_domain Logon ID: 0x3E7 Logon Information: Logon Type: 10 Restricted Admin
Mode: No Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation
New Logon: Security ID: account_domain\account_name Account Name: account_name Account
Domain: domain_name Logon ID: 0x9A4D3C17 Linked Logon ID: 0x9A4D3CD6 Network Account
Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information: Process ID: 0x3e4 Process Name: C:\Windows\System32\svchost.exe
Network Information: Workstation Name: workstation_name Source Network Address: 10.0.0.1
Source Port: 0 Detailed Authentication Information: Logon Process: User32 Authentication
Package: Negotiate Transited Services: - Package Name (NTLM only): - Key Length: 0 This
event is generated when a logon session is created. It is generated on the computer that was
accessed. The subject fields indicate the account on the local system which requested the
logon. This is most commonly a service such as the Server service, or a local process such as
Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred.
The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate
the account for whom the new logon was created, i.e. the account that was logged on. The
network fields indicate where a remote logon request originated. Workstation name is not always
available and may be left blank in some cases. The impersonation level field indicates the
extent to which a process in the logon session can impersonate. The authentication information
fields provide detailed information about this specific logon request. - Logon GUID is a
unique identifier that can be used to correlate this event with a KDC event. - Transited
services indicate which intermediate services have participated in this logon request. -
Package name indicates which sub-protocol was used among the NTLM protocols. - Key length
indicates the length of the generated session key. This will be 0 if no session key was
requested.
次の例では、イベントIDが4624で、送信元IPアドレスが10.0.0.1である <target_user_name> ユーザーのログインが成功したことを示しています。
<13>May 08 14:54:03 microsoft.windows.test AgentDevice=NetApp AgentLogFile=Security PluginVersion=7.2.9.108 Source=NetApp-Security-Auditing Computer=00000000-0000-000000005-000000000000/11111111-1111-1111-1111-111111111111 OriginatingComputer=00000000-0000-0000-0000-000000000000/11111111-1111-1111-1111-111111111111 User= Domain= EventID=4624 EventIDCode=4624 EventType=8 EventCategory=0 RecordNumber=6706 TimeGenerated=1588960308 TimeWritten=1588960308 Level=LogAlways Keywords=AuditSuccess Task=None Opcode=Info Message=IpAddress=10.0.0.1 IpPort=49155 TargetUserSID=S-0-0-00-00000000-0000000000-0000000000-0000 TargetUserName=target_user_name TargetUserIsLocal=false TargetDomainName=target_domain_name AuthenticationPackageName=NTLM_V2 LogonType=3 ObjectType=(null) HandleID=(null) ObjectName=(null) AccessList=(null) AccessMask=(null) DesiredAccess=(null) Attributes=(null)
Syslogを使用してスネア形式でログを収集する場合のMicrosoft Windowsセキュリティイベントログサンプルメッセージ
次のサンプルには、アカウントのパスワードのリセットが試みられ、その試みがアカウント名 Administrator によって行われたことを示すイベント ID 4724 があります。
JSAに送信するログは、タブ区切りにする必要があります。このサンプルのコードを切り取って貼り付ける場合は、 <tab> 変数で示されている場所で Tab キーを押してから、変数を削除してください。
<133>Aug 15 23:12:08 microsoft.windows.test MSWinEventLog<tab>1<tab>Security<tab>839<tab>Wed Aug 15 23:12:08 2012<tab>4724<tab>Microsoft-Windows-Security-Auditing<tab>user<tab>N/ A<tab>Success Audit<tab>w2k8<tab>User Account Management<tab>An attempt was made to reset an account's password. Subject: Security ID: subject_security_id Account Name: Administrator Account Domain: DOMAIN Logon ID: 0x5cbdf Target Account: Security ID: target_security_id Account Name: target_account_name Account Domain: DOMAIN 355
Syslogを使用してLEEF形式でログを収集する場合のMicrosoft Windowsセキュリティイベントログのサンプルメッセージ
次のサンプルのイベント ID は 8194 で、イベントで <user_name> ユーザーによって開始されたボリューム シャドウ コピー サービス エラーが生成されたことを示しています。
<131>Apr 04 10:03:18 microsoft.windows.test LEEF:1.0|Microsoft|Windows|2k8r2|8194|
devTime=2019-04-04T10:03:18GMT+02:00 devTimeFormat=yyyy-MM-dd'T'HH:mm:ssz cat=Error
sev=2 resource=microsoft.windows.test usrName=domain_name\user_name application=Group
Policy Registry message=domain_name\user_name: Application Group Policy Registry: [Error]
The client-side extension could not apply computer policy settings for '00 - C - Domain -
Baseline (Enforced) {00000000-0000-0000-0000-000000000000}' because it failed with error code
'0x80070002 The system cannot find the file specified.' See trace file for more details.
(EventID 8194)
Syslogを使用してCEF形式でログを収集する場合のMicrosoft Windowsセキュリティイベントログサンプルメッセージ
次のサンプルには、サービスが停止状態になったことを示すイベント ID 7036 Service Stopped があります。
CEF:0|Microsoft|Microsoft Windows||Service Control Manager:7036|Service entered the stopped state|Low| eventId=132 externalId=7036 categorySignificance=/Normal categoryBehavior=/Execute/Response categoryDeviceGroup=/Operating System catdt=Operating System categoryOutcome=/Success categoryObject=/Host/Application/Service art=1358378879917 cat=System deviceSeverity=Information act=stopped rt=1358379018000 destinationServiceName=Portable Device Enumerator Service cs2=0 cs3=Service Control Manager cs2Label=EventlogCategory cs3Label=EventSource cs4Label=Reason or Error Code ahost=192.168.0.31 agt=192.168.0.31 agentZoneURI=/All Zones/example System/Private Address Space Zones/RFC1918: 192.168.0.0-192.168.255.255 av=5.2.5.6395.0 atz=Country/City_Name aid=00000000000000000000000\ \=\\= at=windowsfg dvchost=host.domain.test dtz=Country/City_Name _cefVer=0.1 ad.Key[0]=Portable Device Enumerator Service ad.Key[1]=stopped ad.User= ad.ComputerName=host.domain.test ad.DetectTime=2013-1-16 15:30:18 ad.EventS
Syslogを使用してWinlogbeatを使用してログを収集する場合のMicrosoft Windowsセキュリティイベントログのサンプルメッセージ
次のサンプルには、NtpClient がタイム ソースとして使用する手動ピアを設定できなかったことを示す System のイベント ID があります。
{"@timestamp":"2017-02-13T01:54:07.745Z","beat":
{"hostname":"microsoft.windows.test","name":"microsoft.windows.test","version":"5.6.3"},"compute
r_name":"microsoft.windows.test","event_data":
{"DomainPeer":"time.windows.test,0x9","ErrorMessage":"No such host is known.
(0x80072AF9)","RetryMinutes":"15"},"event_id":134,"level":"Warning","log_name":"System","message
":"NtpClient was unable to set a manual peer to use as a time source because of DNS resolution
error on 'time.windows.test,0x9'. NtpClient will try again in 15 minutes and double the
reattempt interval thereafter. The error was: No such host is known.
(0x80072AF9)","opcode":"Info","process_id":996,"provider_guid":"{00000000-0000-0000-0000-0000000
00000}","record_number":"40292","source_name":"Microsoft-Windows-Time-
Service","thread_id":3312,"type":"wineventlog","user":{"domain":"NT
AUTHORITY","identifier":"user_identifier","name":"LOCAL SERVICE","type":"Well Known Group"}}
Azure Event Hubs を使用して Syslog を使用してログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ
{"time":"2019-05-07T17:53:30.0648172Z","category":"WindowsEventLogsTable","level":"Informational
","properties":
{"DeploymentId":"00000000-0000-0000-0000-000000000000","Role":"IaaS","RoleInstance":"_role_insta
nce","ProviderGuid":"{00000000-0000-0000-0000-000000000000}","ProviderName":"Microsoft-Windows-
Security-
Auditing","EventId":5061,"Level":0,"Pid":700,"Tid":1176,"Opcode":0,"Task":12290,"Channel":"Secur
ity","Description":"Cryptographic operation.\r\n\r\nSubject:\r\n\tSecurity
ID:\t\tsecurity_id\r\n\tAccount Name:\t\taccount_name\r\n\tAccount
Domain:\t\tWORKGROUP\r\n\tLogon ID:\t\t0x3E7\r\n\r\nCryptographic Parameters:\r\n\tProvider
Name:\tMicrosoft Software Key Storage Provider\r\n\tAlgorithm Name:\tRSA\r\n\tKey
Name:\t{11111111-1111-1111-1111-111111111111}\r\n\tKey Type:\tMachine key.\r\n\r\nCryptographic
Operation:\r\n\tOperation:\tOpen Key.\r\n\tReturn Code:\t0x0","RawXml":"<Event xmlns='http://
schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-
Security-Auditing' Guid='{22222222-2222-2222-2222-222222222222}'/><EventID>5061</
EventID><Version>0</Version><Level>0</Level><Task>12290</Task><Opcode>0</
Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated
SystemTime='2019-05-07T17:53:30.064817200Z'/><EventRecordID>291478</EventRecordID><Correlation
ActivityID='{33333333-3333-3333-3333-333333333333}'/><Execution ProcessID='700' ThreadID='1176'/
><Channel>Security</Channel><Computer>computer_name</Computer><Security/></
System><EventData><Data Name='SubjectUserSid'>subject_user_sid</Data><Data
Name='SubjectUserName'>subject_user_name</Data><Data Name='SubjectDomainName'>WORKGROUP</
Data><Data Name='SubjectLogonId'>0x3e7</Data><Data Name='ProviderName'>Microsoft Software Key
Storage Provider</Data><Data Name='AlgorithmName'>RSA</Data><Data
Name='KeyName'>{44444444-4444-4444-4444-444444444444}</Data><Data Name='KeyType'>%%2499</
Data><Data Name='Operation'>%%2480</Data><Data Name='ReturnCode'>0x0</Data></EventData></
Event>"}}