Syslog とメールアラートの詳細
Syslog またはメールアラートを有効にすると、Tenable Identity Exposure は、逸脱、攻撃、または変更を検出したときに通知を送信します。
注意: IoA アラートを受信する前に、取り込みの時間について考慮する必要があります。この遅延は、Syslog アラートとメールアラートを設定する際の「設定のテスト」フェーズで観測されるタイミングとは異なります。したがって、実際の攻撃によってトリガーされるアラートのタイミングと比較するための基準値には、テスト設定の期間を使用しないでください。
アラートヘッダー
Syslog アラートヘッダー (RFC-3164) は共通イベント形式 (CEF) を使用しています。これは、Security Information and Event Management (SIEM) を統合するソリューションで共通で使用されている形式です。
露出インジケーター (IoE) のアラートの例
IoE アラートヘッダー
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"攻撃インジケーター (IoA) のアラートの例
IoA アラートヘッダー
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"アラート情報
一般的な要素
ヘッダー構造には、表で説明されている次の部分が含まれています。
| パート | 説明 |
|---|---|
| 1 |
タイムスタンプ — 検出日。例: "Jun 7 05:37:03" |
| 2 |
ホスト名 — アプリケーションのホスト名。例: "customer.tenable.ad" |
| 3 |
製品名 — 逸脱が発生した製品名。例: "TenableAD"、"AnotherTenableADProduct" |
| 4 |
PID — 製品 (Tenable Identity Exposure) ID。例: [4] |
| 5 |
Tenable メッセージタイプ — イベントソースの識別子。例: "0" (= 各逸脱時)、"1" (= 変更時)、"2" (= 各攻撃時)、"3" (= ヘルスチェックのステータス変更時) |
| 6 |
Tenable アラート ID — アラートの一意の ID。例: "0"、"132" |
| 7 |
フォレスト名 — 関連するイベントのフォレスト名。例: "Corp Forest" |
| 8 |
ドメイン名 — イベントに関連するドメイン名。例: "tenable.corp"、"zwx.com" |
| 9 |
Tenable コード名 - 露出インジケーター (IoE) または攻撃インジケーター (IoA) のコード名。例: "C-PASSWORD-DONT-EXPIRE"、"DC Sync"。 |
| 10 |
Tenable の深刻度レベル — 関連する逸脱の深刻度レベル。例: "critical"、"high"、"medium" |
IoE 固有の要素
| パート | 説明 |
|---|---|
| 11 |
AD オブジェクト — 逸脱オブジェクトの識別名。例: "CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local" |
| 12 |
Tenable 逸脱 ID — 逸脱の ID。例: "24980"、"132"、"28" |
| 13 |
Tenable プロファイル ID — Tenable Identity Exposure が逸脱をトリガーしたプロファイルの ID。例: "1" (Tenable)、"2" (soc_team) |
| 14 |
AD 理由コード名 — 逸脱理由のコード名。例: "R-DONT-EXPIRE-SET"、"R-UNCONST-DELEG" |
| 15 |
Tenable イベント ID — 逸脱によって発生したイベントの ID。例: "40667"、"28" |
| 16 |
Tenable 挿入文字列名 — 逸脱オブジェクトで発生した属性名。例: "Cn"、"useraccountcontrol"、"member"、"pwdlastset" |
| 17 |
Tenable 挿入文字列値 — 逸脱オブジェクトで発生した属性の値。例: "s_infosec.scanner"、"CN=Backup Operators,CN=Builtin,DC=domain,DC=local" |
IoA 固有の要素
| パート | 説明 |
|---|---|
| 11 |
ソースホスト名 — 攻撃ホストのホスト名。値は「不明」の場合もあります。 |
| 12 |
ソース IP アドレス — 攻撃ホストの IP アドレス。値は IPv4 または IPv6 です。 |
| 13 |
デスティネーションホスト名 — 攻撃されたホストのホスト名。 |
| 14 |
デスティネーション IP アドレス — 攻撃されたホストの IP アドレス。値は IPv4 または IPv6 です。 |
| 15 |
攻撃手法挿入文字列名 — 危険なオブジェクトがトリガーした属性名。 |
| 16 |
攻撃手法挿入文字列名 — 危険なオブジェクトがトリガーした属性値。 |
Syslog メッセージフレーミング
-
UDP および TCP の syslog 設定の場合、Tenable Identity Exposure は、RFC-6587#3.4.2 に従って非透過フレーミングメソッドを使用し、メッセージを区切ります。フレーミング文字は LF (\n) です。
-
TLS を使用する TCP の場合、Tenable Identity Exposure は、RFC-6587#3.4.1 で説明されているとおり、オクテットカウンティングメソッドを使用します。
例
イベント情報のイベント詳細
次の例は、以下を含むイベント情報に表示されるイベントの詳細を示しています。
-
タイムスタンプ (1)
-
逸脱オブジェクトの名前 (11)
-
フォレスト (7) とドメイン (8) の名前
-
逸脱オブジェクトがトリガーした属性の値 (17)
イベントソース
この例は、イベントのソースを示しています (5)。このパラメーターは Syslog 設定ページで設定したものです。詳細は、Syslog アラート を参照してください。
アラート ID
この例は、アラートの一意の ID を示しています (6)。これは、Tenable Identity Exposure の [システム] > [設定] > [メール] で設定したメールアドレスのリストで確認できます。
