Перейти к содержанию

Операционные системы

Microsoft Windows 7+/2008+

Настройка источника

  1. Создание учетной записи для сбора событий.
  2. Если источник находится в домене, то на контроллере домена необходимо создать учетную запись и добавить ее в группу Event Log Readers.

  3. Если источник не находится в домене, то необходимо создать локальную учетную запись с аналогичным набором прав.
    Процесс создания учетной записи приведен в разделе Создание учетной записи Microsoft Windows.

  4. При использовании межсетевого экрана на узле, необходимо сделать правило для входящих соединений.
    Настройка расширенного аудита представлена в разделе Настройка расширенных политик аудита Windows.

Включение источника на Платформе

Для информации! Включение источника в Платформе подробно представлено в разделе Управление источниками в Платформе — Включение/выключение источников и их синхронизация.

  1. Зайдите в веб-консоль Платформы, перейти в раздел «Источники» — «Управление источниками».
  2. Найдите в списке доступных источников «Microsoft-Windows-Eventlog» и включить его.
  3. Нажмите на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора.

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента Eventlog. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора — Компонент Eventlog.
    Основные параметры, которые необходимо указать:

    channel: ['<название журнала, который нужно собирать>']

    Например:

    channel: ['Security', 'System']

    Заполнить вкладку remote, по следующему принципу: 

    enabled: true (включение удаленного сбора)  
user: <"username в открытом или зашифрованном виде"> (имя пользователя с правами на чтение журнала событий)  
password: <"password в открытом или зашифрованном виде"> (пароль пользователя)  
domain: <"домен пользователя"> (если машина не в домене - ".")  
remote_servers: [<"ip-адрес удаленного узла">] (адрес/список адресов серверов для сбора событий)  
auth_method: <"метод авторизации"> (выбрать один из доступных методов авторизации: Negotiate, Kerberos, NTLM)

  2. После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output). В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP.
    Основные параметры, которые необходимо указать: 

    target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)  
port: <"порт"> (стандартный порт для данного источника 1514)

  3. Далее необходимо включить компоненты сбора (collectors) и отправки (senders). Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Включение компонентов.
    Основные параметры, которые нужно указать при включении компонентов сбора: 

    collectors:  
event_log:  
- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

    Основные параметры, которые нужно указать при включении компонентов отправки: 

    senders:  
tcp:  
- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
    4. После чего необходимо произвести настройку маршрутизации событий.
    Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Маршрутизация событий.
    Основные параметры, которые нужно указать при настройке маршрута:

    route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">

  4. После нужно включить маршрут в разделе routers. Пример включения маршрута:

    routers:

- <<: *<название маршрута> (например - <<: *route_1)

Создание учетной записи Microsoft Windows.

Создание учетной записи

Для создания учетной записи необходимо выполнить следующие действия:

  1. В панели управления Windows открыть консоль Computer Management (Управление компьютером).

  2. В консоли открыть раздел:

    System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Users (Пользователи).

  3. В контекстном меню раздела Users (Пользователи) выбрать функцию New User (Новый пользователь) для создания нового пользователя (см. рисунок 1).

    Выбор функции создания нового пользователя

    Рисунок 1 -- Выбор функции создания нового пользователя.

  4. В открывшемся окне New User (Новый пользователь) ввести следующие денные (см. рисунок 2):

    • В поле Name (Имя) ввести имя нового пользователя.
    • Установить пароль в поле Password (Пароль) и подтвердить его в поле Confirm Password (Подтвердить).
    • При необходимости выставить настройки в пунктах:
    • User cannot change password (Запретить смену пароля пользователем).
    • Password never expires (Срок действия пароля неограничен).

  5. Для создания пользователя с заданными параметрами нажать кнопку Create (Создать - см. рисунок 2).

    Ввод данных нового пользователя

    Рисунок 2 -- Ввод данных нового пользователя.

Предоставление пользователю прав доступа к журналу событий

Для добавления пользователя в группу Event Log Readers (с правом доступа к журналам событий) необходимо выполнить следующие действия:

  1. В консоли Computer Management (Управление компьютером) открыть раздел:

    System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Groups (Группы)

  2. Выбрать в списке группу Event Log Readers (Читатели журнала событий) (см. рисунок 3).

    Выбор группы Event Log Readers для включения учетной записи

    Рисунок 3 -- Выбор группы Event Log Readers для включения учетной записи.

  3. Открыть правой кнопкой мыши контекстное меню группы Event Log Readers (Читатели журнала событий) и выбрать пункт Add To Group (Добавить в группу). Откроется окно Event Log Readers Properties (Свойства: Читатели журнала событий) (см. рисунок 4).

  4. Для добавления пользователя в группу:
    • Нажать кнопку Add (Добавить).
    • В открывшемся окне Select Users (Выбор: Пользователи) выбрать в списке пользователя, созданного ранее, и добавить его в группу, нажав кнопку ОК.

  5. Для сохранения введенных настроек в окне Event Log Readers Properties (Свойства: Читатели журнала событий) нажать кнопку OK (см. рисунок 4).

    Добавление пользователя в группу Event Log Readers

    Рисунок 4 -- Добавление пользователя в группу Event Log Readers.

Внесенные изменения вступают в действие при следующем входе нового пользователя в систему.

Настройка расширенных политик аудита Windows

Для настройки политик аудита на контроллерах домена используются групповые политики домена, которые необходимо сконфигурировать в соответствии с представленной инструкцией:

В групповой политике, применяемой для контроллеров домена, необходимо включить политику использования расширенной конфигурации политики аудита «Audit: Force audit policy subcategory settings (Windows Vista or later) (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Visa или следующие версии))».

Данную политику необходимо включить в разделе «Computer Configuration (Конфигурация компьютера)» → «Windows Settings (Конфигурация Windows)» → «Security Settings (Параметры безопасности)» → «Local Policies (Локальные политики)» → «Security Options (Параметры безопасности)» (см. рисунок 5).

Добавление Audit: Force audit policy subcategory settings

Рисунок 5 -- Добавление Audit: Force audit policy subcategory settings

Для активации аудита для контроллеров домена необходимо настроить групповую политику, которая распространяется на контейнер содержащий DC (Контроллеры домена), в соответствии с таблицей 1. (см. рисунок 6).

Изменение политик аудита

Рисунок 6 -- Изменение политик аудита.

Таблица 1 -- Политики аудита ОС Windows 2008/2012

Политика аудита Тип событий
Аудит проверки учетных данных (Account Logon→Audit Credential Validation) Успех и Отказ
Аудит службы проверки подлинности Kerberos (Account Logon→Audit Kerberos Authentication Service) Успех и Отказ
Аудит операций с билетами службы Kerberos (Account Logon→Audit Kerberos Service Ticket Operations) Успех и Отказ
Аудит других событий входа учетных записей (Account Logon→Audit Other Account Logon Events) Успех и Отказ
Аудит управления группами приложений(Account Management→Audit Application Group Management) Успех и Отказ
Аудит управления учетными записями компьютеров (Account Management→Audit Computer Account Management) Успех и Отказ
Аудит управления группами распространения (Account Management→Audit Distribution Group Management) Успех и Отказ
Аудит других событий управления учетными записями (Account Management→Audit Other Account Management Events) Успех и Отказ
Аудит управления группами безопасности (Account Management→Audit Security Group Management) Успех и Отказ
Аудит управления учетными записями (Account Management→Audit User Account Management) Успех и Отказ
Аудит активности DPAPI(Detailed Tracking→Audit DPAPI Activity) Не фиксируются
Аудит создания процессов (Detailed Tracking→Audit Process Creation) Успех и Отказ
Аудит завершения процессов (Detailed Tracking→Audit Process Termination) Успех и Отказ
Аудит событий RPC (Detailed Tracking→Audit RPC Events) Не фиксируются
Аудит подробной репликации службы каталогов (DS Access→Audit Detailed Directory Service Replication) Не фиксируются
Аудит доступа к службе каталогов (DS Access→Audit Directory Service Access) Успех и Отказ
Аудит изменения службы каталогов (DS Access→Audit Directory Service Changes) Успех и Отказ
Аудит репликации службы каталогов (DS Access→Audit Directory Service Replication) Не фиксируются
Аудит блокировки учетных записей (Logon/Logoff→Audit Account Lockout) Успех и Отказ
Аудит расширенного режима IPsec (Logon/Logoff→Audit IPsec Extended Mode) Не фиксируются
Аудит основного режима IPsec (Logon/Logoff→Audit IPsec Main Mode) Не фиксируются
Аудит быстрого режима IPsec (Logon/Logoff→Audit IPsec Quick Mode) Не фиксируются
Аудит выхода из системы (Logon/Logoff→Audit Logoff) Успех
Аудит входа в систему (Logon/Logoff→Audit Logon) Успех и Отказ
Аудит сервера политики сети (Logon/Logoff→Audit Network Policy Server) Не фиксируются
Аудит других событий входа/выхода (Logon/Logoff→Audit Other Logon/Logoff Events) Успех и Отказ
Аудит специального входа (Logon/Logoff→Audit Special Logon) Успех и Отказ
Аудит событий, создаваемых приложениями(Object Access→ Audit Application Generated) Не фиксируются
Аудит сведений об общем файловом ресурсе (Object Access→ Audit Detailed File Share) Не фиксируются
Аудит общего файлового ресурса (Object Access→ Audit File Share) Успех и Отказ
Аудит файловой системы (Object Access→ Audit File System) Успех и Отказ
Аудит подключения платформы фильтрации (Object Access→ Audit Filtering Platform Connection) Не фиксируются
Аудит отбрасывания пакетов платформой фильтрации (Object Access→ Audit Filtering Platform Packet Drop) Не фиксируются
Аудит работы с дискрипторами(Object Access→ Audit Handle Manipulation) Не фиксируются
Аудит объектов ядра (Object Access→ Audit Kernel Object) Не фиксируются
Аудит других событий доступа к объектам(Object Access→ Audit Other Object Access Events) Не фиксируются
Аудит реестра (Object Access → Audit Registry) Успех и Отказ
Аудит диспетчера учетных записей безопасности (Object Access → Audit SAM) Не фиксируются
Аудит изменения политики аудита (Policy Change→ Audit Policy Change) Успех и отказ
Аудит изменения политики проверки подлинности (Policy Change→Audit Audit Authorization Policy Change) Успех и Отказ
Аудит изменения политики авторизации (Policy Change→Audit Authorization Policy Change) Успех и Отказ
Аудит изменения политики платформы фильтрации (Policy Change→Audit Filtering Platform Policy Change) Не фиксируются
Аудит изменения политики на уровне правил MPSSVC (Policy Change→Audit MPSSVC Rule-Level Policy Change) Успех и Отказ
Аудит других событий изменения политики (Policy Change→Audit Other Policy Change Events) Успех и Отказ
Аудит использования привилегий, затрагивающих конфиденциальные данные (Privilege Use→Audit Sensitive Privilege Use) Успех и Отказ
Аудит использования привилегий, не затрагивающих конфиденциальные данные (Privilege Use→Audit Non-Sensitive Privilege Use) Успех и Отказ
Аудит драйвера IPsec (System→Audit IPsec Driver) Не фиксируются
Аудит других системных событий (System→Audit Other System Events) Не фиксируются
Аудит изменения состояния безопасности (System→Audit Security State Change) Успех и Отказ
Аудит расширения системы безопасности (System→Audit Security System Extension) Успех и Отказ
Аудит целостности системы (System→Audit System Integrity) Успех и Отказ

IBM AIX

Для настройки источника IBM AIX Server на отправку событий в Платформу Радар выполните следующие шаги:

  1. Подключитесь к вашему устройству под пользователем root.
  2. Откройте файл /etc/syslog.conf

  3. Чтобы перенаправить журналы аутентификации – добавьте в файл следующую строку: auth.info @@<IP_address-лог-коллектора>/

    Запись должна разделять auth.info и указанный IP-адрес.

    Например:

    #####
begin
/etc/syslog.conf
mail.debug
/var/adm/maillogmail.none
/var/adm/maillogauth.notice
/var/adm/authloglpr.debug
/var/adm/lpd-errskern.debug
/var/adm/messages*.emerg;*.alert;*.crit;*.warning;*.err;*.notice;*.info
/var/adm/messagesauth.info @@IP_address-лог-коллектора >
#####
end
/etc/syslog.conf

  4. Сохраните и закройте файл.

  5. Перезапустите службу syslog командой:

    refresh -s syslogd

  6. На машине с лог-коллектором добавьте изменения в файл конфигурации для сбора событий от источника и отправки их в Платформу Радар:

    • добавить Компонент сбора событий 

      udp_input_ibm_aix: & udp_input_ibm_aix
    id: "udp_input_ibm_aix"
  host: "0.0.0.0"
    port: 514
    sock_buf_size: 0
  format: "json"
    log_level: "INFO"

    • добавить Компонент отправки событий

      tcp_output_ibm_aix: & tcp_output_ibm_aix id: "tcp_output_ibm_aix" target_host: "<ip адрес платформы/или балансера>" port: 2641 sock_buf_size: 0 log_level: "INFO"

    • указать добавленные компоненты сбора и отправки в разделы collectors и senders соответственно

      collectors:
    udp_receiver:
    - <<: *udp_input_ibm_aix

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_ibm_aix

    • добавить маршрут взаимодействия между компонентами сбора событий и компонентами отправки событий

      route_1_ibm_aix: &route_1_ibm_aix
    collector_id:
    - "udp_input_ibm_aix"
    sender_id:
    - "tcp_output_ibm_aix"

    • включить маршрут в разделе конфигурационного файла routers

      routers:
  - <<: *route_1_ibm_aix

  7. Перезапустите службу лог-коллектора.

  8. Включить источник IBM-AIX в Платформе Радар и нажмите кнопку «Синхронизировать».
  9. Проверьте поступающие события в Платформе Радар в разделе «Просмотр событий».

Unix/Linux

Настройка источника

Для настройки пересылки событий необходимо настроить RSYSLOG. Для этого перейдите в настройки конфигурационного файла rsyslog командой:

nano /etc/rsyslog.conf

В конфигурационной файле добавьте следующую строку:

auth,authpriv.* @<адрес лог-коллектора>:<порт>

После внесения изменений в конфигурационный файл rsyslog перезагрузите службу командой:

service rsyslog restart

Порт необходимо выбирать в соответствии с типом операционной системы. Список поддерживаемых Linux/Unix ОС и распределение по портам представлены в таблице 2.

Таблица 2 -- Распределение поддерживаемых ОС Unix/Linux по портам

Порт Тип ОС ОС
2631 Unix Solaris
2641 IBM AIX
2651 RHEL Linux
2661 CentOS Linux
2671 Debian Linux
2681 Ubuntu Linux
2686 Astra Linux
2691 SUSE Linux
2711 Fedora Linux
2721 Oracle Linux

Включение источника на Платформе

  1. Зайдите в веб-консоль Платформы Радар, перейдите в раздел «Источники», «Управление источниками».
  2. Найдите в списке доступных источников источник начинающийся с «Linux-» и включите тот, который необходимо подключите
  3. Нажмите на кнопку «Синхронизировать».

Настройка коллектора событий

  1. В конфигурационный файл лог-коллектора (config.yaml) добавьте input компонента UDP.

    Основные параметры, которые необходимо указать:

    • host: <ip адрес лог-коллектора> - адрес, на котором запущен коллектор
    • port: <порт для приема соединений> - порт, на который будут приниматься события

  2. После настройки компонента сбора событий (input) настройте компонент отправки событий (output).

    В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу UDP.
    Основные параметры, которые необходимо указать:

    • target_host: <ip адрес или имя удаленного узла> - адрес Платформы Раадр
    • port: <порт> - стандартный порт для данного источника

  3. Далее включите компоненты сбора (collectors) и отправки (senders).

    Основные параметры, которые нужно указать при включении компонентов сбора:

    collectors:
  udp_reciever:
    - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

    Основные параметры, которые нужно указать при включении компонентов отправки:

    senders:
  udp:
    - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)

  4. После этого настройте маршрутизацию событий.

    Основные параметры, которые нужно указать при настройке маршрута:

    route_1: &route_1
  collector_id:
    - <"id компонента сбора"> 
  sender_id:
    - <"id компонента отправки">

  5. Включите маршрут в разделе routers:

    routers:
  - <<: *<название маршрута> (например - <<: *route_1)