节省大,投资回报更好! ManageEngine产品独家折扣!* 提升您的业务 *适用条款与条件
  • 首页
  • 管理设置
  • SIEM 集成
点击这里以缩小
点击这里以扩展 点击这里以扩展

SIEM 集成

'SIEM 集成'选项允许您实时将数据从 ADAuditPlus 转发到外部 SIEM 产品或 Syslog 服务器。

您可以选择转发

  • 所有 ADAuditPlus 数据类别(排除打印审计报表和高级 GPO 报表)。
  • ADAuditPlus 技术人员审计报表。
  • 告警。

将 ADAudit Plus 数据转发到 Syslog 服务器

Syslog 是 Unix 系统中的事件日志服务。您也可以使用此设置将数据转发到您的 SIEM 的 UDP 或 TCP 接收器。

配置 Syslog 服务器:

  • Syslog 守护进程默认以 UDP 运行,端口为 514。
  • 默认设置可以在配置文件 /etc/syslog.conf 中修改。请记得重启 Syslog 守护进程以使更改生效。

在 ADAudit Plus 中启用 Syslog 日志记录的步骤:

  1. 点击 '管理员' 标签 → 'SIEM 集成'。
  2. 勾选 '启用' 复选框并选择 'Syslog' 单选按钮。
  3. 输入 Syslog 服务器名称。确保 ADAudit Plus 服务器可以访问 Syslog 服务器。
  4. 输入 Syslog 端口号和协议。
  5. 根据您的 SIEM 解析器要求选择 Syslog 标准和数据格式。
  6. 保存此配置后,选择要转发的类别。

LogRhythm syslog 关键映射

ADAudit Plus 转发广泛的 syslog 关键信息。以下是所有审核数据中共同的关键映射。基于报表类别而变化的动态键未列在下表中。

Syslog 键 ADAudit Plus 列
类别 ADAuditPlus 类别
EVENT_NUMBER 事件编号
RECORD_NUMBER 记录编号
UNIQUE_ID 唯一 ID
REPORT_PROFILE ADAuditPlus 报表配置文件名称
ALERT_PROFILE ADAuditPlus 告警配置文件名称

SOURCE

APP_DISPLAY_NAME

 事件源
SEVERITY 严重性
TIME_GENERATED 事件时间

USER_MGMT_TYPE

GROUP_MGMT_TYPE

OPERATION_TYPE

OBJECT_CLASS_TEXT

ACCESS_TYPE_TEXT

MODIFIED_PROPS

COMP_MGMT_TYPE

OBJECT_CLASS

CHANGE_TYPE_TEXT

 事件类型
REMARKS 事件备注
EVENT_TYPE_TEXT 事件结果
FORMAT_MESSA GE ADAuditPlus 消息字符串

COMMAND_PATH

DISPLAY_NAME

FILE_NAME

 文件名称
POLICY_PATH 文件位置

CLIENT_USER_NAME

USERNAME

LOGIN_NAME

ACTOR_NAME

CALLER_USER_NAME

USER_DISPLAY_NAME

 用户名 / 来电用户名

CALLER_USER_SID

USER_SID

 用户 SID / 来电用户名

DOMAIN

ACCOUNT_DOMAIN

EVENT_MACHINE_DOMAIN CALLER_USER_DOMAIN

TENANT_NAME

 域名 / 来电域名

CLIENT_HOST_N AME

EVENT_MACHINE _NAME

DEVICE_INFO

 用户机器 / 呼叫者机器名称

ACTOR_IP_ADDRESS

CLIENT_MC_NAME

CLIENT_IP_ADDRESS

IP_ADDRESS

 用户机器 IP 地址

ACCOUNT_NAME

OBJECT_NAME_TEXT

TARGET0_UPN

 目标用户名

TARGET0_NAME

ACCOUNT_SID

 目标用户 SID

将 ADAudit Plus 数据转发到外部 SIEM 产品:Splunk HTTP

配置 Splunk Http 事件收集器:

  • 点击“设置” → “数据输入” → “Http 事件收集器”。
  • 点击“新建令牌”。为令牌提供一个名称(最好是 ADAuditPlus),其余保持默认值(如有需要可自定义)。
  • 保存配置后,将生成一个身份验证令牌。该令牌需要在 ADAuditPlus 的配置中提供。
  • 在“Http 事件收集器”页面的“全局设置”下,启用“所有令牌”。
  • 您还可以根据需要在“全局设置”中自定义“Http 端口号”和“SSL”设置。

在 ADAuditPlus 中启用 Splunk 转发的步骤:

  1. 点击“管理员”标签 → “SIEM 集成”。
  2. 勾选“启用”复选框并选择“Splunk”单选按钮。
  3. 输入 Splunk 服务器名称。确保 ADAuditPlus 服务器可以访问 Splunk 服务器。
  4. 输入 Splunk Http 事件收集器的端口号和协议。
  5. 指定在 Splunk 中为 ADAuditPlus 生成的 Http 事件收集器令牌。
  6. 保存此配置后,选择要转发的类别。

将 ADAudit Plus 数据转发到外部 SIEM 产品:ArcSight

在 ADAuditPlus 中启用 ArcSight 转发的步骤:

  1. 点击“管理员”标签 → “SIEM 集成”。
  2. 勾选“启用”复选框并选择“ArcSight”单选按钮。
  3. 输入 ArcSight 服务器名称。确保 ADAuditPlus 服务器可以访问 ArcSight 服务器。
  4. 输入 ArcSight 收集器的端口号和协议。
  5. 保存此配置后,选择要转发的类别。

ArcSight CEF 键映射

CEF 键 ADAuditPlus 列
cat ADAuditPlus 类别
cn1 事件编号
cn2 记录编号
cn3 唯一 ID
cs1 ADAuditPlus 报表配置文件名称
cs4 ADAuditPlus 告警配置文件名称
cs3 事件源
cs5 严重性
rt 事件时间
type 事件类型
reason 事件备注
outcome 事件结果
msg ADAuditPlus 消息字符串
fileName 文件名
fileLocation 文件位置
suser 用户名 / 呼叫用户名称
suid 用户SID / 呼叫用户SID
sntdom 域名 / 呼叫域名
shost 用户计算机 / 呼叫计算机名称
cs2 用户计算机IP地址
duser 目标用户名
duid 目标用户SID

转发的ADAudit Plus事件可以在您的SIEM产品中进行搜索、分组到报表中并根据需要分类。

  • ADAuditPlus中的事件可以通过 'SOURCE' 字段轻松区分。
  • 每个日志事件将具有 'Category' 字段。此字段的可能值在配置页面的 '选择转发的类别' 菜单中定义。
  • 每个事件的时间戳将在 'TIME_GENERATED' 字段中显示。
  • 与事件相关的其他字段可能会根据事件类别而有所不同。因此,在您的SIEM产品中可以为每个所需类别维护一个正则表达式。

在此页面上

获取下载链接