ログをデセプションの管理ポータルに転送するようにLogRhythmを設定する手順は次の通りです。

• 手順1：LogRhythmのトリガー スクリプトを構成してダウンロードする

  トリガー スクリプトは、LogRhythmサーバーからデセプションの管理ポータルにログを送信します。LogRhythm トリガー スクリプトを構成してダウンロードし、ADイベント ログをポータルに転送します。

  閉じる
• 手順2：LogRhythmのトリガー スクリプト ファイルを抽出する
  1. 手順1でダウンロードしたLogRhythmのトリガー スクリプトを、LogRhythmを実行しているサーバーにコピーします。
  2. フォルダを作成し、.zipファイルファイルとしてダウンロードします。
  3. 抽出される個々のtar.gzファイルのサブフォルダーを作成します。

  

  閉じる
• 手順3：LogRhythmのSmartResponse プラグイン ファイルを作成する
  1. LogRhythmクライアント コンソールにログインします。
  2. メイン ツールバーで、[展開マネージャー]をクリックします。
  3. ツールメニューの[管理]>[SmartResponseプラグイン マネージャー]の順にアクセスします。
  4. SmartResponseプラグイン マネージャーのウィンドウで、[プラグインの作成]をクリックします。
  5. プラグイン構成ファイル(PowershellおよびActions.xml)を含むフォルダを参照します。

  6. ファイルを選択し、[検証]をクリックします。

     .lpiのプラグイン ファイルが作成されます。

  7. [アクション]>[インポート]をクリックします。
  8. 手順3.fで作成した.lpiファイルを参照して手順 3.f で作成したファイルを作成し、[ 開く] をクリックします。

  閉じる
• 手順4：イベントIDの高度なインテリジェンス(AI)エンジンのルールを作成する
  1. メイン ツールバーで、[展開マネージャー]をクリックします。
  2. AIエンジンのタブをクリックします。
  3. ルールのタブをクリックし、プラス アイコンをクリックします。

  4. ルール ブロックのタイプのペインで、[監視対象のログのルール ブロックアイコンをルール ブロック デザイナーのペインにドラッグ アンド ドロップします。

     AI エンジン ルール ブロック ウィザードのページが表示されます。

  5. AI エンジン ルール ブロック ウィザードのページの下部にあるルール ブロックのタブをクリックします。

     1. プライマリ基準のタブをクリックし[新規]をクリックします。

        ログ メッセージ フィルターのウィンドウが表示されます。

     2. 次の設定でフィルター基準を追加します。詳細については、LogRhythmのドキュメンテーションを参照してください。
        • [フィールド]：Vendor Message ID
        • [フィルター モード]：Filter In (Is)
        • [フィルター値]：{Event ID}
     3. [アイテムの追加]をクリックします。
     4. フィルターを含めるのタブで、特定のユーザーがログインしたときにアラームをトリガーする次の設定のフィルターを追加します。詳細については、LogRhythmのドキュメンテーションを参照してください。
        • [フィールド]：User (Origin)
        • [フィルター モード]：Filter In (Is)
        • [フィルター値]：{decoy username or list}
     5. [アイテムの追加]をクリックします。
     6. ログ ソース基準タブをクリックし、ログ ソースのオプションとしてADドメイン・コントローラのセキュリティ ログを選択します。詳細については、LogRhythmのドキュメンテーションを参照してください。
     7. [グループ化の基準]のタブをクリックし、デセプションの管理ポータルに転送する次のフィールド(イベントID)を選択します。詳細は、LogRhythmのドキュメンテーションを参照してください。
        • 4625
        • 4648
        • 4768
        • 4769
        • 4771
        • 4776
  6. AIエンジン ルール ブロック ウィザード ページの下部にある設定のタブをクリックし、イベント名を入力します。
  7. AIエンジン ルール ブロック ウィザードのページの下部にあるアクションタブをクリックします。
     1. [アクションの設定]：ドロップダウンメニューからSmartResponseプラグインを選択します。
     2. [パラメーター：]イベントIDごとに次の設定を構成します。
        • [タイプ]：Alarm Field
        • [値]：イベント名を入力します。
  8. SmartResponseアクションの実行元のセクションで、セキュリティ情報およびイベント管理(SIEM)を選択してSmartResponseプラグインを起動します。

  9. [アクションの保存]をクリックします。

     AIエンジン ルールが作成されます。

  10. ルールを右クリックし、[アクション]>[有効]の順に選択してルールを有効にします。
  11. [AIエンジン サーバーの再起動]をクリックして、ルールを有効にします。

  ADデコイをテストするには、デコイADユーザー アカウントにログインします。LogRhythmサーバーおよびデセプションの管理ポータルでトリガーされたイベントを確認できます。

  閉じる

イベント フィールド マッピング

以下のテーブル、イベントのXML バージョン(Windowsのイベント ビューアーに表示される)を、LogRhythmサーバーによって解析されるフィールドにマップします。フィールドが一致しない場合は、照応するSmartResponseプラグインのactions.xmlファイルに変更を加える必要があります。

• 4625

  LogRhythm	PowerShellパラメーター	イベント ビューア
  ドメイン オリジン	-SubjectDomainName	SubjectDomainName
  ユーザー(元)	-TargetUserName	TargetUserName
  ドメイン オリジン	-TargetDomainName	TargetDomainName
  ステータス	-Status	ステータス
  ObjectName	-SubStatus	SubStatus
  コマンド	-LogonType	LogonType
  ホスト名(元)	-WorkstationName	WorkstationName
  IPアドレス(元)	-IpAddress	IPアドレス
  TCP/UDPポート(元)	-IpPort	IpPort

  閉じる
• 4648

  LogRhythm	PowerShellパラメーター
  ユーザー(元)	-SubjectUserName
  ドメイン オリジン	-SubjectDomainName
  ユーザー(影響後)	-TargetUserName
  ドメイン オリジン	-TargetDomainName
  ホスト名(影響後)	-TargetServerName
  IPアドレス(元)	-IpAddress
  TCP/UDPポート(元)	-IpPort

  閉じる
• 4768

  LogRhythm	PowerShellパラメーター
  ユーザー(元)	-TargetUserName
  ホスト名(影響後)	-Workstation
  IPアドレス(元)	-IpAddress
  ポリシー	-TicketOptions
  バージョン	-TicketEncryptionType
  オブジェクト	-PreAuthType
  件名	-Status

  閉じる
• 4769

  LogRhythm	PowerShellパラメーター
  ユーザー(元)	-TargetUserName
  ドメイン オリジン	-TargetDomainName
  ホスト名(影響後)	-ServiceName
  ポリシー	-TicketOptions
  バージョン	-TicketEncryptionType
  IPアドレス(元)	-IpAddress
  TCP/UDPポート(元)	-IpPort

  閉じる
• 4771

  LogRhythm	PowerShellパラメーター
  ユーザー(元)	-TargetUserName
  グループ	-ServiceName
  IPアドレス(元)	-IPアドレス
  TCP/UDPポート(元)	-IpPort

  閉じる
• 4776

  LogRhythm	PowerShellパラメーター
  ユーザー(元)	-TargetUsername
  ホスト名(元)	-Workstation
  ObjectName	-Status

  閉じる