Syslog とメールアラートの詳細

Syslog またはメールアラートを有効にすると、Tenable Identity Exposure は、逸脱、攻撃、または変更を検出したときに通知を送信します。

アラートヘッダー

Syslog アラートヘッダー (RFC-3164) は共通イベント形式 (CEF) を使用しています。これは、Security Information and Event Management (SIEM) を統合するソリューションで共通で使用されている形式です。

露出インジケーター (IoE) のアラートの例

コピー

IoE アラートヘッダー

<116>Jan  9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"

攻撃インジケーター (IoA) のアラートの例

コピー

IoA アラートヘッダー

<116>Jan  9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"

アラート情報

一般的な要素

ヘッダー構造には、表で説明されている次の部分が含まれています。

パート 説明
1

Time Stamp — 検出日。例: "Jun 7 05:37:03"

2

Hostname — アプリケーションのホスト名。例: "customer.tenable.ad"

3

Product Name — 逸脱が発生した製品名。例: "TenableAD"、"AnotherTenableADProduct"

4

PID — 製品 (Tenable Identity Exposure) ID。例: [4]

5

Tenable Msg Type — イベントソースの識別子。例: "0" (= 各逸脱時)、"1" (= 変更時)、"2" (= 各攻撃時)

6

Tenable Alert ID — アラートの一意の ID。例: "0"、"132"

7

Forest Name — 関連するイベントのフォレスト名。例: "Corp Forest"

8

Domain Name — イベントに関連するドメイン名。例: "tenable.corp"、"zwx.com"

9

Tenable Codename - 露出インジケーター (IoE) または攻撃インジケーター (IoA) のコード名。例: "C-PASSWORD-DONT-EXPIRE"、"DC Sync"。

10

Tenable Severity Level — 関連する逸脱の深刻度レベル。例: "critical"、"high"、"medium"

IoE 固有の要素

パート 説明
11

AD Object — 逸脱オブジェクトの識別名。例: "CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local"

12

Tenable Deviance ID — 逸脱の ID。例: "24980"、"132"、"28"

13

Tenable Profile IDTenable Identity Exposure が逸脱をトリガーしたプロファイルの ID。例: "1" (Tenable)、"2" (soc_team)

14

AD Reason Codename — 逸脱理由のコード名。例: "R-DONT-EXPIRE-SET"、"R-UNCONST-DELEG"

15

Tenable Event ID — 逸脱によって発生したイベントの ID。例: "40667"、"28"

16

Tenable Insertion Strings Name — 逸脱オブジェクトで発生した属性名。例: "Cn"、"useraccountcontrol"、"member"、"pwdlastset"

17

Tenable Insertion Strings Value — 逸脱オブジェクトで発生した属性の値。例: "s_infosec.scanner"、"CN=Backup Operators,CN=Builtin,DC=domain,DC=local"

IoA 固有の要素

パート 説明
11

Source hostname — 攻撃ホストのホスト名。値は「不明」の場合もあります。

12

Source IP Address — 攻撃ホストの IP アドレス。値は IPv4 または IPv6 です。

13

Destination Hostname — 攻撃されたホストのホスト名。

14

Destination IP Address — 攻撃されたホストの IP アドレス。値は IPv4 または IPv6 です。

15

Attack Vector Insertion Strings Name — 逸脱オブジェクトがトリガーした属性名。

16

Attack Vector Insertion Strings Value — 逸脱オブジェクトがトリガーした属性値。