Syslog とメールアラートの詳細
Syslog またはメールアラートを有効にすると、Tenable Identity Exposureは、逸脱、攻撃、または変更を検出したときに通知を送信します。
注意: IoA アラートを受信する前に、取り込みの時間について考慮する必要があります。この遅延は、Syslog アラートとメールアラートを設定する際の「設定のテスト」フェーズで観測されるタイミングとは異なります。したがって、実際の攻撃によってトリガーされるアラートのタイミングと比較するための基準値には、テスト設定の期間を使用しないでください。
アラートヘッダー
Syslog アラートヘッダー (RFC-3164) は共通イベント形式 (CEF) を使用しています。これは、Security Information and Event Management (SIEM) を統合するソリューションで共通で使用されている形式です。
露出インジケーター (IoE) のアラートの例
IoE アラートヘッダー
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"
攻撃インジケーター (IoA) のアラートの例
IoA アラートヘッダー
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"
アラート情報
一般的な要素
ヘッダー構造には、表で説明されている次の部分が含まれています。
パート | 説明 |
---|---|
1 |
タイムスタンプ — 検出日。例: "Jun 7 05:37:03" |
2 |
ホスト名 — アプリケーションのホスト名。例: "customer.tenable.ad" |
3 |
製品名 — 逸脱が発生した製品名。例: "TenableAD"、"AnotherTenableADProduct" |
4 |
PID — 製品 (Tenable Identity Exposure) ID。例: [4] |
5 |
Tenable メッセージタイプ — イベントソースの識別子。例: "0" (= 各逸脱時)、"1" (= 変更時)、"2" (= 各攻撃時)、"3" (= ヘルスチェックのステータス変更時) |
6 |
Tenable アラート ID — アラートの一意の ID。例: "0"、"132" |
7 |
フォレスト名 — 関連するイベントのフォレスト名。例: "Corp Forest" |
8 |
ドメイン名 — イベントに関連するドメイン名。例: "tenable.corp"、"zwx.com" |
9 |
Tenable コード名 - 露出インジケーター (IoE) または攻撃インジケーター (IoA) のコード名。例: "C-PASSWORD-DONT-EXPIRE"、"DC Sync"。 |
10 |
Tenable の深刻度レベル — 関連する逸脱の深刻度レベル。例: "critical"、"high"、"medium" |
IoE 固有の要素
パート | 説明 |
---|---|
11 |
AD オブジェクト — 逸脱オブジェクトの識別名。例: "CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local" |
12 |
Tenable 逸脱 ID — 逸脱の ID。例: "24980"、"132"、"28" |
13 |
Tenable プロファイル ID — Tenable Identity Exposure が逸脱をトリガーしたプロファイルの ID。例: "1" (Tenable)、"2" (soc_team) |
14 |
AD 理由コード名 — 逸脱理由のコード名。例: "R-DONT-EXPIRE-SET"、"R-UNCONST-DELEG" |
15 |
Tenable イベント ID — 逸脱によって発生したイベントの ID。例: "40667"、"28" |
16 |
Tenable 挿入文字列名 — 逸脱オブジェクトで発生した属性名。例: "Cn"、"useraccountcontrol"、"member"、"pwdlastset" |
17 |
Tenable 挿入文字列値 — 逸脱オブジェクトで発生した属性の値。例: "s_infosec.scanner"、"CN=Backup Operators,CN=Builtin,DC=domain,DC=local" |
IoA 固有の要素
パート | 説明 |
---|---|
11 |
ソースホスト名 — 攻撃ホストのホスト名。値は「不明」の場合もあります。 |
12 |
ソース IP アドレス — 攻撃ホストの IP アドレス。値は IPv4 または IPv6 です。 |
13 |
デスティネーションホスト名 — 攻撃されたホストのホスト名。 |
14 |
デスティネーション IP アドレス — 攻撃されたホストの IP アドレス。値は IPv4 または IPv6 です。 |
15 |
攻撃手法挿入文字列名 — 危険なオブジェクトがトリガーした属性名。 |
16 |
攻撃手法挿入文字列名 — 危険なオブジェクトがトリガーした属性値。 |
Syslog メッセージフレーミング
-
UDP および TCP の syslog 設定の場合、Tenable Identity Exposureは、RFC-6587#3.4.2 に従って非透過フレーミングメソッドを使用し、メッセージを区切ります。フレーミング文字は LF (\n) です。
-
TLS を使用する TCP の場合、Tenable Identity Exposureは、RFC-6587#3.4.1 で説明されているとおり、オクテットカウンティングメソッドを使用します。
例
この例は、イベントのソースを示しています (5)。このパラメーターは Syslog 設定ページで設定したものです。詳細は、Syslog アラートを参照してください。