SIEM 集成

“SIEM 集成”选项允许您将 ADAuditPlus 的数据实时转发到外部 SIEM 产品或 Syslog 服务器。

您可以选择转发

• ADAuditPlus 按类别划分的所有数据（打印机审计报告和高级 GPO 报告除外）。
• ADAuditPlus 技术员审计报告。
• 警报。

将 ADAudit Plus 数据转发到 Syslog 服务器

Syslog 是 Unix 系统中的事件日志服务。您也可以使用此设置转发到 SIEM 的 UDP 或 TCP 接收器。

配置 Syslog 服务器：

• Syslog 守护进程默认运行在 udp，端口 514。
• 可以在其配置文件 /etc/syslog.conf 中修改默认设置。请记得重启 Syslog 守护进程以使更改生效。

在 ADAuditPlus 中启用 Syslog 日志记录的步骤：

1. 点击“管理”标签 → “SIEM 集成”。
2. 勾选“启用”复选框并选择“Syslog”单选按钮。
3. 输入 Syslog 服务器名称。确保 ADAuditPlus 服务器能够访问 Syslog 服务器。
4. 输入 Syslog 端口号和协议。
5. 根据 SIEM 解析器的要求选择 Syslog 标准和数据格式。
6. 保存此配置后，选择要转发的类别。

LogRhythm syslog 键映射

ADAudit Plus 转发了大量的 syslog 键数据。下面列出的是所有审计数据中通用的键映射。基于报告类别动态变化的键未列出。

Syslog 键	ADAudit Plus 列
类别	ADAuditPlus 类别
EVENT_NUMBER	事件编号
RECORD_NUMBER	记录编号
UNIQUE_ID	唯一 ID
REPORT_PROFILE	ADAuditPlus 报告配置文件名称
ALERT_PROFILE	ADAuditPlus 警报配置文件名称
SOURCE APP_DISPLAY_NAME	事件来源
SEVERITY	严重性
TIME_GENERATED	事件时间
USER_MGMT_TYPE GROUP_MGMT_TYPE OPERATION_TYPE OBJECT_CLASS_TEXT ACCESS_TYPE_TEXT MODIFIED_PROPS COMP_MGMT_TYPE OBJECT_CLASS CHANGE_TYPE_TEXT	事件类型
REMARKS	事件备注
EVENT_TYPE_TEXT	事件结果
FORMAT_MESSAGE	ADAuditPlus 消息字符串
COMMAND_PATH DISPLAY_NAME FILE_NAME	文件名
POLICY_PATH	文件位置
CLIENT_USER_NAME USERNAME LOGIN_NAME ACTOR_NAME CALLER_USER_NAME USER_DISPLAY_NAME	用户名 / 呼叫者用户名
CALLER_USER_SID USER_SID	用户 SID / 呼叫者用户名
DOMAIN ACCOUNT_DOMAIN EVENT_MACHINE_DOMAIN CALLER_USER_DOMAIN TENANT_NAME	域名 / 呼叫者域名
CLIENT_HOST_NAME EVENT_MACHINE_NAME DEVICE_INFO	用户机器 / 呼叫者机器名称
ACTOR_IP_ADDRESS CLIENT_MC_NAME CLIENT_IP_ADDRESS IP_ADDRESS	用户机器 IP 地址
ACCOUNT_NAME OBJECT_NAME_TEXT TARGET0_UPN	目标用户名
TARGET0_NAME ACCOUNT_SID	目标用户 SID

将 ADAudit Plus 数据转发到外部 SIEM 产品：Splunk HTTP

配置 Splunk Http 事件收集器：

• 点击“设置” → “数据输入” → “Http 事件收集器”。
• 点击“新建令牌”。输入令牌名称（建议使用 ADAuditPlus），其余保持默认值（需要时可自定义）。
• 保存配置后，将生成身份验证令牌。此令牌需在 ADAuditPlus 配置中提供。
• 在“Http 事件收集器”页面的“全局设置”中，启用“所有令牌”。
• 您也可以根据需要在“全局设置”中自定义“Http 端口号”和“SSL”设置。

在 ADAuditPlus 中启用 Splunk 转发的步骤：

1. 点击“管理”标签 → “SIEM 集成”。
2. 勾选“启用”复选框并选择“Splunk”单选按钮。
3. 输入 Splunk 服务器名称。确保 ADAuditPlus 服务器能够访问 Splunk 服务器。
4. 输入 Splunk Http 事件收集器端口号和协议。
5. 指定在 Splunk 中为 ADAuditPlus 生成的 Http 事件收集器令牌。
6. 保存此配置后，选择要转发的类别。

将 ADAudit Plus 数据转发到外部 SIEM 产品：ArcSight

在 ADAuditPlus 中启用 ArcSight 转发的步骤：

1. 点击“管理”标签 → “SIEM 集成”。
2. 勾选“启用”复选框并选择“ArcSight”单选按钮。
3. 输入 ArcSight 服务器名称。确保 ADAuditPlus 服务器能够访问 ArcSight 服务器。
4. 输入 ArcSight 收集器端口号和协议。
5. 保存此配置后，选择要转发的类别。

ArcSight CEF 键映射

CEF 键	ADAuditPlus 列
cat	ADAuditPlus 类别
cn1	事件编号
cn2	记录编号
cn3	唯一 ID
cs1	ADAuditPlus 报告配置文件名称
cs4	ADAuditPlus 警报配置文件名称
cs3	事件来源
cs5	严重性
rt	事件时间
type	事件类型
reason	事件备注
outcome	事件结果
msg	ADAuditPlus 消息字符串
fileName	文件名
fileLocation	文件位置
suser	用户名 / 呼叫者用户名
suid	用户 SID / 呼叫者用户名
sntdom	域名 / 呼叫者域名
shost	用户机器 / 呼叫者机器名称
cs2	用户机器 IP 地址
duser	目标用户名
duid	目标用户 SID

在您的SIEM产品中搜索ADAuditPlus数据

转发的ADAudit Plus事件可以在您的SIEM产品中按需搜索、分组生成报告及分类。

• ADAuditPlus的事件可以通过“SOURCE”字段轻松分离。
• 每个日志事件都会有一个“Category”字段。该字段的可能值在配置页面的“选择要转发的类别”菜单下定义。
• 每个事件的时间戳将显示在“TIME_GENERATED”字段中。
• 与事件相关的其他字段可能会根据事件类别变化。因此，您的SIEM产品中可以为每个所需类别维护一个正则表达式。