Syslog とメールアラートの詳細
Syslog またはメールアラートを有効にすると、Tenable Identity Exposure は、逸脱、攻撃、または変更を検出したときに通知を送信します。
注意: IoA アラートを受信する前に、取り込みの時間について考慮する必要があります。この遅延は、Syslog アラートとメールアラートを設定する際の「設定のテスト」フェーズで観測されるタイミングとは異なります。したがって、実際の攻撃によってトリガーされるアラートのタイミングと比較するための基準値には、テスト設定の期間を使用しないでください。
アラートヘッダー
Syslog アラートヘッダー (RFC-3164) は共通イベント形式 (CEF) を使用しています。これは、Security Information and Event Management (SIEM) を統合するソリューションで共通で使用されている形式です。
露出インジケーター (IoE) のアラートの例
IoE アラートヘッダー
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "0" "1" "Alsid Forest" "emea.corp" "C-PASSWORD-DONT-EXPIRE" "medium" "CN=Gustavo Fring,OU=Los_Pollos_Hermanos,OU=Emea,DC=emea,DC=corp" "28" "1" "R-DONT-EXPIRE-SET" "2434" "TrusteeCn"="Gustavo Fring"攻撃インジケーター (IoA) のアラートの例
IoA アラートヘッダー
<116>Jan 9 09:24:42 qradar.alsid.app AlsidForAD[4]: "2" "1337" "Alsid Forest" "emea.corp" "DC Sync" "medium" "yoda.alsid.corp" "10.0.0.1" "antoinex1x.alsid.corp" "10.1.0.1" "user"="Gustavo Fring" "dc_name"="MyDC"アラート情報
一般的な要素
ヘッダー構造には、表で説明されている次の部分が含まれています。
| パート | 説明 |
|---|---|
| 1 |
Time Stamp — 検出日。例: "Jun 7 05:37:03" |
| 2 |
Hostname — アプリケーションのホスト名。例: "customer.tenable.ad" |
| 3 |
Product Name — 逸脱が発生した製品名。例: "TenableAD"、"AnotherTenableADProduct" |
| 4 |
PID — 製品 (Tenable Identity Exposure) ID。例: [4] |
| 5 |
Tenable Msg Type — イベントソースの識別子。例: "0" (= 各逸脱時)、"1" (= 変更時)、"2" (= 各攻撃時)、"3" (= ヘルスチェックのステータス変更時) |
| 6 |
Tenable Alert ID — アラートの一意の ID。例: "0"、"132" |
| 7 |
Forest Name — 関連するイベントのフォレスト名。例: "Corp Forest" |
| 8 |
Domain Name — イベントに関連するドメイン名。例: "tenable.corp"、"zwx.com" |
| 9 |
Tenable Codename - 露出インジケーター (IoE) または攻撃インジケーター (IoA) のコード名。例: "C-PASSWORD-DONT-EXPIRE"、"DC Sync"。 |
| 10 |
Tenable Severity Level — 関連する逸脱の深刻度レベル。例: "critical"、"high"、"medium" |
IoE 固有の要素
| パート | 説明 |
|---|---|
| 11 |
AD Object — 逸脱オブジェクトの識別名。例: "CN=s_infosec.scanner,OU=ADManagers,DC=domain,DC=local" |
| 12 |
Tenable Deviance ID — 逸脱の ID。例: "24980"、"132"、"28" |
| 13 |
Tenable Profile ID — Tenable Identity Exposure が逸脱をトリガーしたプロファイルの ID。例: "1" (Tenable)、"2" (soc_team) |
| 14 |
AD Reason Codename — 逸脱理由のコード名。例: "R-DONT-EXPIRE-SET"、"R-UNCONST-DELEG" |
| 15 |
Tenable Event ID — 逸脱によって発生したイベントの ID。例: "40667"、"28" |
| 16 |
Tenable Insertion Strings Name — 逸脱オブジェクトで発生した属性名。例: "Cn"、"useraccountcontrol"、"member"、"pwdlastset" |
| 17 |
Tenable Insertion Strings Value — 逸脱オブジェクトで発生した属性の値。例: "s_infosec.scanner"、"CN=Backup Operators,CN=Builtin,DC=domain,DC=local" |
IoA 固有の要素
| パート | 説明 |
|---|---|
| 11 |
Source hostname — 攻撃ホストのホスト名。値は「不明」の場合もあります。 |
| 12 |
Source IP Address — 攻撃ホストの IP アドレス。値は IPv4 または IPv6 です。 |
| 13 |
Destination Hostname — 攻撃されたホストのホスト名。 |
| 14 |
Destination IP Address — 攻撃されたホストの IP アドレス。値は IPv4 または IPv6 です。 |
| 15 |
Attack Vector Insertion Strings Name — 逸脱オブジェクトがトリガーした属性名。 |
| 16 |
Attack Vector Insertion Strings Value — 逸脱オブジェクトがトリガーした属性値。 |
例
イベント情報のイベント詳細
次の例は、以下を含むイベント情報に表示されるイベントの詳細を示しています。
-
タイムスタンプ (1)
-
逸脱オブジェクトの名前 (11)
-
フォレスト (7) とドメイン (8) の名前
-
逸脱オブジェクトがトリガーした属性の値 (17)
イベントソース
この例は、イベントのソースを示しています (5)。このパラメーターは Syslog 設定ページで設定したものです。詳細は、Syslog アラート を参照してください。
アラート ID
この例は、アラートの一意の ID を示しています (6)。これは、Tenable Identity Exposure の [システム] > [設定] > [メール] で設定したメールアドレスのリストで確認できます。
