Операционные системы
Microsoft Windows 7+/2008+
Настройка источника
- Создание учетной записи для сбора событий.
- Если источник находится в домене, то на контроллере домена необходимо создать учетную запись и добавить ее в группу Event Log Readers.
-
Если источник не находится в домене, то необходимо создать локальную учетную запись с аналогичным набором прав.
Процесс создания учетной записи приведен в разделе Создание учетной записи Microsoft Windows. -
При использовании межсетевого экрана на узле, необходимо сделать правило для входящих соединений.
Настройка расширенного аудита представлена в разделе Настройка расширенных политик аудита Windows.
Включение источника на Платформе
Для информации! Включение источника в Платформе подробно представлено в разделе Управление источниками в Платформе — Включение/выключение источников и их синхронизация.
- Зайдите в веб-консоль Платформы, перейти в раздел «Источники» — «Управление источниками».
- Найдите в списке доступных источников «Microsoft-Windows-Eventlog» и включить его.
- Нажмите на кнопку «Синхронизировать».
Настройка коллектора событий
Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора.
-
В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента Eventlog. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора — Компонент Eventlog.
Основные параметры, которые необходимо указать:channel: ['<название журнала, который нужно собирать>']
Например:
channel: ['Security', 'System']
Заполнить вкладку remote, по следующему принципу:
enabled: true (включение удаленного сбора) user: <"username в открытом или зашифрованном виде"> (имя пользователя с правами на чтение журнала событий) password: <"password в открытом или зашифрованном виде"> (пароль пользователя) domain: <"домен пользователя"> (если машина не в домене - ".") remote_servers: [<"ip-адрес удаленного узла">] (адрес/список адресов серверов для сбора событий) auth_method: <"метод авторизации"> (выбрать один из доступных методов авторизации: Negotiate, Kerberos, NTLM)
-
После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output). В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP.
Основные параметры, которые необходимо указать:target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы) port: <"порт"> (стандартный порт для данного источника 1514)
-
Далее необходимо включить компоненты сбора (collectors) и отправки (senders). Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Включение компонентов.
Основные параметры, которые нужно указать при включении компонентов сбора:collectors: event_log: - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)
Основные параметры, которые нужно указать при включении компонентов отправки:
4. После чего необходимо произвести настройку маршрутизации событий.senders: tcp: - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Маршрутизация событий.
Основные параметры, которые нужно указать при настройке маршрута:route_1: &route_1 collector_id: - <"id компонента сбора"> sender_id: - <"id компонента отправки">
-
После нужно включить маршрут в разделе routers. Пример включения маршрута:
routers: - <<: *<название маршрута> (например - <<: *route_1)
Создание учетной записи Microsoft Windows.
Создание учетной записи
Для создания учетной записи необходимо выполнить следующие действия:
-
В панели управления Windows открыть консоль Computer Management (Управление компьютером).
-
В консоли открыть раздел:
System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Users (Пользователи).
-
В контекстном меню раздела Users (Пользователи) выбрать функцию New User (Новый пользователь) для создания нового пользователя (см. рисунок 1).
Рисунок 1 -- Выбор функции создания нового пользователя.
-
В открывшемся окне New User (Новый пользователь) ввести следующие денные (см. рисунок 2):
- В поле Name (Имя) ввести имя нового пользователя.
- Установить пароль в поле Password (Пароль) и подтвердить его в поле Confirm Password (Подтвердить).
- При необходимости выставить настройки в пунктах:
- User cannot change password (Запретить смену пароля пользователем).
- Password never expires (Срок действия пароля неограничен).
-
Для создания пользователя с заданными параметрами нажать кнопку Create (Создать - см. рисунок 2).
Рисунок 2 -- Ввод данных нового пользователя.
Предоставление пользователю прав доступа к журналу событий
Для добавления пользователя в группу Event Log Readers (с правом доступа к журналам событий) необходимо выполнить следующие действия:
-
В консоли Computer Management (Управление компьютером) открыть раздел:
System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Groups (Группы)
-
Выбрать в списке группу Event Log Readers (Читатели журнала событий) (см. рисунок 3).
Рисунок 3 -- Выбор группы Event Log Readers для включения учетной записи.
-
Открыть правой кнопкой мыши контекстное меню группы Event Log Readers (Читатели журнала событий) и выбрать пункт Add To Group (Добавить в группу). Откроется окно Event Log Readers Properties (Свойства: Читатели журнала событий) (см. рисунок 4).
- Для добавления пользователя в группу:
- Нажать кнопку Add (Добавить).
- В открывшемся окне Select Users (Выбор: Пользователи) выбрать в списке пользователя, созданного ранее, и добавить его в группу, нажав кнопку ОК.
-
Для сохранения введенных настроек в окне Event Log Readers Properties (Свойства: Читатели журнала событий) нажать кнопку OK (см. рисунок 4).
Рисунок 4 -- Добавление пользователя в группу Event Log Readers.
Внесенные изменения вступают в действие при следующем входе нового пользователя в систему.
Настройка расширенных политик аудита Windows
Для настройки политик аудита на контроллерах домена используются групповые политики домена, которые необходимо сконфигурировать в соответствии с представленной инструкцией:
В групповой политике, применяемой для контроллеров домена, необходимо включить политику использования расширенной конфигурации политики аудита «Audit: Force audit policy subcategory settings (Windows Vista or later) (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Visa или следующие версии))».
Данную политику необходимо включить в разделе «Computer Configuration (Конфигурация компьютера)» → «Windows Settings (Конфигурация Windows)» → «Security Settings (Параметры безопасности)» → «Local Policies (Локальные политики)» → «Security Options (Параметры безопасности)» (см. рисунок 5).
Рисунок 5 -- Добавление Audit: Force audit policy subcategory settings
Для активации аудита для контроллеров домена необходимо настроить групповую политику, которая распространяется на контейнер содержащий DC (Контроллеры домена), в соответствии с таблицей 1. (см. рисунок 6).
Рисунок 6 -- Изменение политик аудита.
Таблица 1 -- Политики аудита ОС Windows 2008/2012
Политика аудита | Тип событий |
---|---|
Аудит проверки учетных данных (Account Logon→Audit Credential Validation) | Успех и Отказ |
Аудит службы проверки подлинности Kerberos (Account Logon→Audit Kerberos Authentication Service) | Успех и Отказ |
Аудит операций с билетами службы Kerberos (Account Logon→Audit Kerberos Service Ticket Operations) | Успех и Отказ |
Аудит других событий входа учетных записей (Account Logon→Audit Other Account Logon Events) | Успех и Отказ |
Аудит управления группами приложений(Account Management→Audit Application Group Management) | Успех и Отказ |
Аудит управления учетными записями компьютеров (Account Management→Audit Computer Account Management) | Успех и Отказ |
Аудит управления группами распространения (Account Management→Audit Distribution Group Management) | Успех и Отказ |
Аудит других событий управления учетными записями (Account Management→Audit Other Account Management Events) | Успех и Отказ |
Аудит управления группами безопасности (Account Management→Audit Security Group Management) | Успех и Отказ |
Аудит управления учетными записями (Account Management→Audit User Account Management) | Успех и Отказ |
Аудит активности DPAPI(Detailed Tracking→Audit DPAPI Activity) | Не фиксируются |
Аудит создания процессов (Detailed Tracking→Audit Process Creation) | Успех и Отказ |
Аудит завершения процессов (Detailed Tracking→Audit Process Termination) | Успех и Отказ |
Аудит событий RPC (Detailed Tracking→Audit RPC Events) | Не фиксируются |
Аудит подробной репликации службы каталогов (DS Access→Audit Detailed Directory Service Replication) | Не фиксируются |
Аудит доступа к службе каталогов (DS Access→Audit Directory Service Access) | Успех и Отказ |
Аудит изменения службы каталогов (DS Access→Audit Directory Service Changes) | Успех и Отказ |
Аудит репликации службы каталогов (DS Access→Audit Directory Service Replication) | Не фиксируются |
Аудит блокировки учетных записей (Logon/Logoff→Audit Account Lockout) | Успех и Отказ |
Аудит расширенного режима IPsec (Logon/Logoff→Audit IPsec Extended Mode) | Не фиксируются |
Аудит основного режима IPsec (Logon/Logoff→Audit IPsec Main Mode) | Не фиксируются |
Аудит быстрого режима IPsec (Logon/Logoff→Audit IPsec Quick Mode) | Не фиксируются |
Аудит выхода из системы (Logon/Logoff→Audit Logoff) | Успех |
Аудит входа в систему (Logon/Logoff→Audit Logon) | Успех и Отказ |
Аудит сервера политики сети (Logon/Logoff→Audit Network Policy Server) | Не фиксируются |
Аудит других событий входа/выхода (Logon/Logoff→Audit Other Logon/Logoff Events) | Успех и Отказ |
Аудит специального входа (Logon/Logoff→Audit Special Logon) | Успех и Отказ |
Аудит событий, создаваемых приложениями(Object Access→ Audit Application Generated) | Не фиксируются |
Аудит сведений об общем файловом ресурсе (Object Access→ Audit Detailed File Share) | Не фиксируются |
Аудит общего файлового ресурса (Object Access→ Audit File Share) | Успех и Отказ |
Аудит файловой системы (Object Access→ Audit File System) | Успех и Отказ |
Аудит подключения платформы фильтрации (Object Access→ Audit Filtering Platform Connection) | Не фиксируются |
Аудит отбрасывания пакетов платформой фильтрации (Object Access→ Audit Filtering Platform Packet Drop) | Не фиксируются |
Аудит работы с дискрипторами(Object Access→ Audit Handle Manipulation) | Не фиксируются |
Аудит объектов ядра (Object Access→ Audit Kernel Object) | Не фиксируются |
Аудит других событий доступа к объектам(Object Access→ Audit Other Object Access Events) | Не фиксируются |
Аудит реестра (Object Access → Audit Registry) | Успех и Отказ |
Аудит диспетчера учетных записей безопасности (Object Access → Audit SAM) | Не фиксируются |
Аудит изменения политики аудита (Policy Change→ Audit Policy Change) | Успех и отказ |
Аудит изменения политики проверки подлинности (Policy Change→Audit Audit Authorization Policy Change) | Успех и Отказ |
Аудит изменения политики авторизации (Policy Change→Audit Authorization Policy Change) | Успех и Отказ |
Аудит изменения политики платформы фильтрации (Policy Change→Audit Filtering Platform Policy Change) | Не фиксируются |
Аудит изменения политики на уровне правил MPSSVC (Policy Change→Audit MPSSVC Rule-Level Policy Change) | Успех и Отказ |
Аудит других событий изменения политики (Policy Change→Audit Other Policy Change Events) | Успех и Отказ |
Аудит использования привилегий, затрагивающих конфиденциальные данные (Privilege Use→Audit Sensitive Privilege Use) | Успех и Отказ |
Аудит использования привилегий, не затрагивающих конфиденциальные данные (Privilege Use→Audit Non-Sensitive Privilege Use) | Успех и Отказ |
Аудит драйвера IPsec (System→Audit IPsec Driver) | Не фиксируются |
Аудит других системных событий (System→Audit Other System Events) | Не фиксируются |
Аудит изменения состояния безопасности (System→Audit Security State Change) | Успех и Отказ |
Аудит расширения системы безопасности (System→Audit Security System Extension) | Успех и Отказ |
Аудит целостности системы (System→Audit System Integrity) | Успех и Отказ |
IBM AIX
Для настройки источника IBM AIX Server на отправку событий в Платформу Радар выполните следующие шаги:
- Подключитесь к вашему устройству под пользователем root.
- Откройте файл
/etc/syslog.conf
-
Чтобы перенаправить журналы аутентификации – добавьте в файл следующую строку:
auth.info @@<IP_address-лог-коллектора>
/Запись должна разделять
auth.info
и указанный IP-адрес.Например:
##### begin /etc/syslog.conf mail.debug /var/adm/maillogmail.none /var/adm/maillogauth.notice /var/adm/authloglpr.debug /var/adm/lpd-errskern.debug /var/adm/messages*.emerg;*.alert;*.crit;*.warning;*.err;*.notice;*.info /var/adm/messagesauth.info @@IP_address-лог-коллектора > ##### end /etc/syslog.conf
-
Сохраните и закройте файл.
-
Перезапустите службу syslog командой:
refresh -s syslogd
-
На машине с лог-коллектором добавьте изменения в файл конфигурации для сбора событий от источника и отправки их в Платформу Радар:
-
добавить Компонент сбора событий
udp_input_ibm_aix: & udp_input_ibm_aix id: "udp_input_ibm_aix" host: "0.0.0.0" port: 514 sock_buf_size: 0 format: "json" log_level: "INFO"
-
добавить Компонент отправки событий
tcp_output_ibm_aix: & tcp_output_ibm_aix id: "tcp_output_ibm_aix" target_host: "<ip адрес платформы/или балансера>" port: 2641 sock_buf_size: 0 log_level: "INFO"
-
указать добавленные компоненты сбора и отправки в разделы collectors и senders соответственно
collectors: udp_receiver: - <<: *udp_input_ibm_aix senders: port: 48002 tcp: - <<: *tcp_output_ibm_aix
-
добавить маршрут взаимодействия между компонентами сбора событий и компонентами отправки событий
route_1_ibm_aix: &route_1_ibm_aix collector_id: - "udp_input_ibm_aix" sender_id: - "tcp_output_ibm_aix"
-
включить маршрут в разделе конфигурационного файла routers
routers: - <<: *route_1_ibm_aix
-
-
Перезапустите службу лог-коллектора.
- Включить источник IBM-AIX в Платформе Радар и нажмите кнопку «Синхронизировать».
- Проверьте поступающие события в Платформе Радар в разделе «Просмотр событий».
Unix/Linux
Настройка источника
Для настройки пересылки событий необходимо настроить RSYSLOG. Для этого перейдите в настройки конфигурационного файла rsyslog командой:
nano /etc/rsyslog.conf
В конфигурационной файле добавьте следующую строку:
auth,authpriv.* @<адрес лог-коллектора>:<порт>
После внесения изменений в конфигурационный файл rsyslog перезагрузите службу командой:
service rsyslog restart
Порт необходимо выбирать в соответствии с типом операционной системы. Список поддерживаемых Linux/Unix ОС и распределение по портам представлены в таблице 2.
Таблица 2 -- Распределение поддерживаемых ОС Unix/Linux по портам
Порт | Тип ОС | ОС |
---|---|---|
2631 | Unix | Solaris |
2641 | IBM | AIX |
2651 | RHEL | Linux |
2661 | CentOS | Linux |
2671 | Debian | Linux |
2681 | Ubuntu | Linux |
2686 | Astra | Linux |
2691 | SUSE | Linux |
2711 | Fedora | Linux |
2721 | Oracle | Linux |
Включение источника на Платформе
- Зайдите в веб-консоль Платформы Радар, перейдите в раздел «Источники», «Управление источниками».
- Найдите в списке доступных источников источник начинающийся с «Linux-» и включите тот, который необходимо подключите
- Нажмите на кнопку «Синхронизировать».
Настройка коллектора событий
-
В конфигурационный файл лог-коллектора (config.yaml) добавьте input компонента UDP.
Основные параметры, которые необходимо указать:
host: <ip адрес лог-коллектора>
- адрес, на котором запущен коллекторport: <порт для приема соединений>
- порт, на который будут приниматься события
-
После настройки компонента сбора событий (input) настройте компонент отправки событий (output).
В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу UDP.
Основные параметры, которые необходимо указать:target_host: <ip адрес или имя удаленного узла>
- адрес Платформы Раадрport: <порт>
- стандартный порт для данного источника
-
Далее включите компоненты сбора (collectors) и отправки (senders).
Основные параметры, которые нужно указать при включении компонентов сбора:
collectors: udp_reciever: - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)
Основные параметры, которые нужно указать при включении компонентов отправки:
senders: udp: - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
-
После этого настройте маршрутизацию событий.
Основные параметры, которые нужно указать при настройке маршрута:
route_1: &route_1 collector_id: - <"id компонента сбора"> sender_id: - <"id компонента отправки">
-
Включите маршрут в разделе routers:
routers: - <<: *<название маршрута> (например - <<: *route_1)