Syslog とメールアラートの詳細

Syslog またはメールアラートを有効にすると、Tenable Identity Exposureは、逸脱、攻撃、または変更を検出したときに通知を送信します。

注意: IoA アラートを受信する前に、取り込みの時間について考慮する必要があります。この遅延は、Syslog アラートとメールアラートを設定する際の「設定のテスト」フェーズで観測されるタイミングとは異なります。したがって、実際の攻撃によってトリガーされるアラートのタイミングと比較するための基準値には、テスト設定の期間を使用しないでください。

アラートヘッダー

Syslog アラートヘッダー (RFC-3164) は共通イベント形式 (CEF) を使用しています。これは、Security Information and Event Management (SIEM) を統合するソリューションで共通で使用されている形式です。

露出インジケーター (IoE) のアラートの例

コピー

IoE アラートヘッダー

<116>Jan  9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"

攻撃インジケーター (IoA) のアラートの例

コピー

IoA アラートヘッダー

<116>Jan  9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"

アラート情報

一般的な要素

ヘッダー構造には、表で説明されている次の部分が含まれています。

パート 説明
1

タイムスタンプ — 検出日。例: "Jun 7 05:37:03"

2

ホスト名 — アプリケーションのホスト名。例: "customer.tenable.ad"

3

製品名 — 逸脱が発生した製品名。例: "TenableAD"、"AnotherTenableADProduct"

4

PID — 製品 (Tenable Identity Exposure) ID。例: [4]

5

Tenable メッセージタイプ — イベントソースの識別子。例: "0" (= 各逸脱時)、"1" (= 変更時)、"2" (= 各攻撃時)、"3" (= ヘルスチェックのステータス変更時)

6

Tenable アラート ID — アラートの一意の ID。例: "0"、"132"

7

フォレスト名 — 関連するイベントのフォレスト名。例: "Corp Forest"

8

ドメイン名 — イベントに関連するドメイン名。例: "tenable.corp"、"zwx.com"

9

Tenable コード名 - 露出インジケーター (IoE) または攻撃インジケーター (IoA) のコード名。例: "C-PASSWORD-DONT-EXPIRE"、"DC Sync"。

10

Tenable の深刻度レベル — 関連する逸脱の深刻度レベル。例: "critical"、"high"、"medium"

IoE 固有の要素

パート 説明
11

AD オブジェクト — 逸脱オブジェクトの識別名。例: "CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local"

12

Tenable 逸脱 ID — 逸脱の ID。例: "24980"、"132"、"28"

13

Tenable プロファイル IDTenable Identity Exposure が逸脱をトリガーしたプロファイルの ID。例: "1" (Tenable)、"2" (soc_team)

14

AD 理由コード名 — 逸脱理由のコード名。例: "R-DONT-EXPIRE-SET"、"R-UNCONST-DELEG"

15

Tenable イベント ID — 逸脱によって発生したイベントの ID。例: "40667"、"28"

16

Tenable 挿入文字列名 — 逸脱オブジェクトで発生した属性名。例: "Cn"、"useraccountcontrol"、"member"、"pwdlastset"

17

Tenable 挿入文字列値 — 逸脱オブジェクトで発生した属性の値。例: "s_infosec.scanner"、"CN=Backup Operators,CN=Builtin,DC=domain,DC=local"

IoA 固有の要素

パート 説明
11

ソースホスト名 — 攻撃ホストのホスト名。値は「不明」の場合もあります。

12

ソース IP アドレス — 攻撃ホストの IP アドレス。値は IPv4 または IPv6 です。

13

デスティネーションホスト名 — 攻撃されたホストのホスト名。

14

デスティネーション IP アドレス — 攻撃されたホストの IP アドレス。値は IPv4 または IPv6 です。

15

攻撃手法挿入文字列名 — 危険なオブジェクトがトリガーした属性名。

16

攻撃手法挿入文字列名 — 危険なオブジェクトがトリガーした属性値。

Syslog メッセージフレーミング

  • UDP および TCP の syslog 設定の場合、Tenable Identity Exposureは、RFC-6587#3.4.2 に従って非透過フレーミングメソッドを使用し、メッセージを区切ります。フレーミング文字は LF (\n) です。

  • TLS を使用する TCP の場合、Tenable Identity Exposureは、RFC-6587#3.4.1 で説明されているとおり、オクテットカウンティングメソッドを使用します。