11 April,19 at 11:51 AM
Para isso, basta utilizar a ferramenta FindSessions para exportar os dados da base do DirectAudit. Mais informações no DA Admin Guide, a partir da página 109. Por exemplo:
C:\Program Files\Centrify\DirectManage Audit\AuditAnalyzer>FindSessions.exe /installation="Centrify-Img-Demo" /aql="1 type= shellui, wingui; orderby= machine ASC; time is in_past 30 day; command= \"dzdo\";" /export="SessionList" /format="csv" /path=C:\temp"
os parâmetros são:
/Installation: o nome da instalação do DirectAudit, criada no AD (pode ser verificada na console Audit Manager ou Audit Analyzer);
/aql: query com as sessões a serem exportadas;
/export: o formato dos dados gerados;
/format: o formato dos arquivos gerados;
/path: o caminho onde os arquivos serão gerados.
Para facilitar a geração da query, crie a query no Audit Analyzer e exporte as definições em formato XMLS como abaixo e utilize a query no parâmetro aql do comando FindSessions:
Feito isso, apontar essa pasta na solução de SIEM que irá ler os arquivos e processar os eventos encontrados neles.