Операционные системы
Microsoft Windows 7+/2008+
Настройка источника
- Создание учетной записи для сбора событий.
- Если источник находится в домене, то на контроллере домена необходимо создать учетную запись и добавить ее в группу Event Log Readers.
-
Если источник не находится в домене, то необходимо создать локальную учетную запись с аналогичным набором прав.
Процесс создания учетной записи приведен в разделе Создание учетной записи Microsoft Windows. -
При использовании межсетевого экрана на узле, необходимо сделать правило для входящих соединений.
Настройка расширенного аудита представлена в разделе Настройка расширенных политик аудита Windows.
Включение источника на Платформе
Для информации! Включение источника в Платформе подробно представлено в разделе Управление источниками в Платформе — Включение/выключение источников и их синхронизация.
- Зайдите в веб-консоль Платформы, перейти в раздел «Источники» — «Управление источниками».
- Найдите в списке доступных источников «Microsoft-Windows-Eventlog» и включить его.
- Нажмите на кнопку «Синхронизировать».
Настройка коллектора событий
Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора.
-
В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента Eventlog. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора — Компонент Eventlog.
Основные параметры, которые необходимо указать:channel: ['<название журнала, который нужно собирать>']
Например:
channel: ['Security', 'System']
Заполнить вкладку remote, по следующему принципу:
enabled: true (включение удаленного сбора) user: <"username в открытом или зашифрованном виде"> (имя пользователя с правами на чтение журнала событий) password: <"password в открытом или зашифрованном виде"> (пароль пользователя) domain: <"домен пользователя"> (если машина не в домене - ".") remote_servers: [<"ip-адрес удаленного узла">] (адрес/список адресов серверов для сбора событий) auth_method: <"метод авторизации"> (выбрать один из доступных методов авторизации: Negotiate, Kerberos, NTLM)
-
После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output). В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP.
Основные параметры, которые необходимо указать:target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы) port: <"порт"> (стандартный порт для данного источника 1514)
-
Далее необходимо включить компоненты сбора (collectors) и отправки (senders). Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Включение компонентов.
Основные параметры, которые нужно указать при включении компонентов сбора:collectors: event_log: - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)
Основные параметры, которые нужно указать при включении компонентов отправки:
4. После чего необходимо произвести настройку маршрутизации событий.senders: tcp: - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Маршрутизация событий.
Основные параметры, которые нужно указать при настройке маршрута:route_1: &route_1 collector_id: - <"id компонента сбора"> sender_id: - <"id компонента отправки">
-
После нужно включить маршрут в разделе routers. Пример включения маршрута:
routers: - <<: *<название маршрута> (например - <<: *route_1)
Создание учетной записи Microsoft Windows.
Создание учетной записи
Для создания учетной записи необходимо выполнить следующие действия:
-
В панели управления Windows открыть консоль Computer Management (Управление компьютером).
-
В консоли открыть раздел:
System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Users (Пользователи).
-
В контекстном меню раздела Users (Пользователи) выбрать функцию New User (Новый пользователь) для создания нового пользователя (см. рисунок 1).
Рисунок 1 -- Выбор функции создания нового пользователя.
-
В открывшемся окне New User (Новый пользователь) ввести следующие денные (см. рисунок 2):
- В поле Name (Имя) ввести имя нового пользователя.
- Установить пароль в поле Password (Пароль) и подтвердить его в поле Confirm Password (Подтвердить).
- При необходимости выставить настройки в пунктах:
- User cannot change password (Запретить смену пароля пользователем).
- Password never expires (Срок действия пароля неограничен).
-
Для создания пользователя с заданными параметрами нажать кнопку Create (Создать - см. рисунок 2).
Рисунок 2 -- Ввод данных нового пользователя.
Предоставление пользователю прав доступа к журналу событий
Для добавления пользователя в группу Event Log Readers (с правом доступа к журналам событий) необходимо выполнить следующие действия:
-
В консоли Computer Management (Управление компьютером) открыть раздел:
System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Groups (Группы)
-
Выбрать в списке группу Event Log Readers (Читатели журнала событий) (см. рисунок 3).
Рисунок 3 -- Выбор группы Event Log Readers для включения учетной записи.
-
Открыть правой кнопкой мыши контекстное меню группы Event Log Readers (Читатели журнала событий) и выбрать пункт Add To Group (Добавить в группу). Откроется окно Event Log Readers Properties (Свойства: Читатели журнала событий) (см. рисунок 4).
- Для добавления пользователя в группу:
- Нажать кнопку Add (Добавить).
- В открывшемся окне Select Users (Выбор: Пользователи) выбрать в списке пользователя, созданного в п.3.1.1, и добавить его в группу, нажав кнопку ОК.
-
Для сохранения введенных настроек в окне Event Log Readers Properties (Свойства: Читатели журнала событий) нажать кнопку OK (см. рисунок 4).
Рисунок 4 -- Добавление пользователя в группу Event Log Readers.
Внесенные изменения вступают в действие при следующем входе нового пользователя в систему.
Настройка расширенных политик аудита Windows
Для настройки политик аудита на контроллерах домена используются групповые политики домена, которые необходимо сконфигурировать в соответствии с представленной инструкцией:
В групповой политике, применяемой для контроллеров домена, необходимо включить политику использования расширенной конфигурации политики аудита «Audit: Force audit policy subcategory settings (Windows Vista or later) (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Visa или следующие версии))».
Данную политику необходимо включить в разделе «Computer Configuration (Конфигурация компьютера)» → «Windows Settings (Конфигурация Windows)» → «Security Settings (Параметры безопасности)» → «Local Policies (Локальные политики)» → «Security Options (Параметры безопасности)» (см. рисунок 5).
Рисунок 5 -- Добавление Audit: Force audit policy subcategory settings
Для активации аудита для контроллеров домена необходимо настроить групповую политику, которая распространяется на контейнер содержащий DC (Контроллеры домена), в соответствии с таблицей 1. (см. рисунок 6).
Рисунок 6 -- Изменение политик аудита.
Таблица 1 -- Политики аудита ОС Windows 2008/2012
Политика аудита | Тип событий |
---|---|
Аудит проверки учетных данных (Account Logon→Audit Credential Validation) | Успех и Отказ |
Аудит службы проверки подлинности Kerberos (Account Logon→Audit Kerberos Authentication Service) | Успех и Отказ |
Аудит операций с билетами службы Kerberos (Account Logon→Audit Kerberos Service Ticket Operations) | Успех и Отказ |
Аудит других событий входа учетных записей (Account Logon→Audit Other Account Logon Events) | Успех и Отказ |
Аудит управления группами приложений(Account Management→Audit Application Group Management) | Успех и Отказ |
Аудит управления учетными записями компьютеров (Account Management→Audit Computer Account Management) | Успех и Отказ |
Аудит управления группами распространения (Account Management→Audit Distribution Group Management) | Успех и Отказ |
Аудит других событий управления учетными записями (Account Management→Audit Other Account Management Events) | Успех и Отказ |
Аудит управления группами безопасности (Account Management→Audit Security Group Management) | Успех и Отказ |
Аудит управления учетными записями (Account Management→Audit User Account Management) | Успех и Отказ |
Аудит активности DPAPI(Detailed Tracking→Audit DPAPI Activity) | Не фиксируются |
Аудит создания процессов (Detailed Tracking→Audit Process Creation) | Успех и Отказ |
Аудит завершения процессов (Detailed Tracking→Audit Process Termination) | Успех и Отказ |
Аудит событий RPC (Detailed Tracking→Audit RPC Events) | Не фиксируются |
Аудит подробной репликации службы каталогов (DS Access→Audit Detailed Directory Service Replication) | Не фиксируются |
Аудит доступа к службе каталогов (DS Access→Audit Directory Service Access) | Успех и Отказ |
Аудит изменения службы каталогов (DS Access→Audit Directory Service Changes) | Успех и Отказ |
Аудит репликации службы каталогов (DS Access→Audit Directory Service Replication) | Не фиксируются |
Аудит блокировки учетных записей (Logon/Logoff→Audit Account Lockout) | Успех и Отказ |
Аудит расширенного режима IPsec (Logon/Logoff→Audit IPsec Extended Mode) | Не фиксируются |
Аудит основного режима IPsec (Logon/Logoff→Audit IPsec Main Mode) | Не фиксируются |
Аудит быстрого режима IPsec (Logon/Logoff→Audit IPsec Quick Mode) | Не фиксируются |
Аудит выхода из системы (Logon/Logoff→Audit Logoff) | Успех |
Аудит входа в систему (Logon/Logoff→Audit Logon) | Успех и Отказ |
Аудит сервера политики сети (Logon/Logoff→Audit Network Policy Server) | Не фиксируются |
Аудит других событий входа/выхода (Logon/Logoff→Audit Other Logon/Logoff Events) | Успех и Отказ |
Аудит специального входа (Logon/Logoff→Audit Special Logon) | Успех и Отказ |
Аудит событий, создаваемых приложениями(Object Access→ Audit Application Generated) | Не фиксируются |
Аудит сведений об общем файловом ресурсе (Object Access→ Audit Detailed File Share) | Не фиксируются |
Аудит общего файлового ресурса (Object Access→ Audit File Share) | Успех и Отказ |
Аудит файловой системы (Object Access→ Audit File System) | Успех и Отказ |
Аудит подключения платформы фильтрации (Object Access→ Audit Filtering Platform Connection) | Не фиксируются |
Аудит отбрасывания пакетов платформой фильтрации (Object Access→ Audit Filtering Platform Packet Drop) | Не фиксируются |
Аудит работы с дискрипторами(Object Access→ Audit Handle Manipulation) | Не фиксируются |
Аудит объектов ядра (Object Access→ Audit Kernel Object) | Не фиксируются |
Аудит других событий доступа к объектам(Object Access→ Audit Other Object Access Events) | Не фиксируются |
Аудит реестра (Object Access → Audit Registry) | Успех и Отказ |
Аудит диспетчера учетных записей безопасности (Object Access → Audit SAM) | Не фиксируются |
Аудит изменения политики аудита (Policy Change→ Audit Policy Change) | Успех и отказ |
Аудит изменения политики проверки подлинности (Policy Change→Audit Audit Authorization Policy Change) | Успех и Отказ |
Аудит изменения политики авторизации (Policy Change→Audit Authorization Policy Change) | Успех и Отказ |
Аудит изменения политики платформы фильтрации (Policy Change→Audit Filtering Platform Policy Change) | Не фиксируются |
Аудит изменения политики на уровне правил MPSSVC (Policy Change→Audit MPSSVC Rule-Level Policy Change) | Успех и Отказ |
Аудит других событий изменения политики (Policy Change→Audit Other Policy Change Events) | Успех и Отказ |
Аудит использования привилегий, затрагивающих конфиденциальные данные (Privilege Use→Audit Sensitive Privilege Use) | Успех и Отказ |
Аудит использования привилегий, не затрагивающих конфиденциальные данные (Privilege Use→Audit Non-Sensitive Privilege Use) | Успех и Отказ |
Аудит драйвера IPsec (System→Audit IPsec Driver) | Не фиксируются |
Аудит других системных событий (System→Audit Other System Events) | Не фиксируются |
Аудит изменения состояния безопасности (System→Audit Security State Change) | Успех и Отказ |
Аудит расширения системы безопасности (System→Audit Security System Extension) | Успех и Отказ |
Аудит целостности системы (System→Audit System Integrity) | Успех и Отказ |