Перейти к содержанию

Операционные системы

Microsoft Windows 7+/2008+

Настройка источника

  1. Создание учетной записи для сбора событий.
  2. Если источник находится в домене, то на контроллере домена необходимо создать учетную запись и добавить ее в группу Event Log Readers.

  3. Если источник не находится в домене, то необходимо создать локальную учетную запись с аналогичным набором прав.
    Процесс создания учетной записи приведен в Приложении 1. Создание учетной записи Microsoft Windows.

  4. При использовании межсетевого экрана на узле, необходимо сделать правило для входящих соединений.
    Настройка расширенного аудита представлена в Приложении 2. Настройка расширенных политик аудита Windows.

Включение источника на Платформе

Для информации! Включение источника в Платформе подробно представлено в разделе Управление источниками в Платформе — Включение/выключение источников и их синхронизация.

  1. Зайдите в веб-консоль Платформы, перейти в раздел «Источники» — «Управление источниками».
  2. Найдите в списке доступных источников «Microsoft-Windows-Eventlog» и включить его.
  3. Нажмите на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора.

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента Eventlog. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора — Компонент Eventlog.
    Основные параметры, которые необходимо указать: 
    channel: ['<название журнала, который нужно собирать>']
    Например: 
    channel: ['Security', 'System']
    Заполнить вкладку remote, по следующему принципу:
    enabled: true (включение удаленного сбора)  
user: <"username в открытом или зашифрованном виде"> (имя пользователя с правами на чтение журнала событий)  
password: <"password в открытом или зашифрованном виде"> (пароль пользователя)  
domain: <"домен пользователя"> (если машина не в домене - ".")  
remote_servers: [<"ip-адрес удаленного узла">] (адрес/список адресов серверов для сбора событий)  
auth_method: <"метод авторизации"> (выбрать один из доступных методов авторизации: Negotiate, Kerberos, NTLM)
  2. После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output). В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP.
    Основные параметры, которые необходимо указать:
    target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)  
port: <"порт"> (стандартный порт для данного источника 1514)
  3. Далее необходимо включить компоненты сбора (collectors) и отправки (senders). Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Включение компонентов.
    Основные параметры, которые нужно указать при включении компонентов сбора:
    collectors:  
event_log:  
- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)
    Основные параметры, которые нужно указать при включении компонентов отправки:
    senders:  
tcp:  
- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
  4. После чего необходимо произвести настройку маршрутизации событий.
    Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Маршрутизация событий.
    Основные параметры, которые нужно указать при настройке маршрута: 
    route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">
  5. После нужно включить маршрут в разделе routers. Пример включения маршрута: 
    routers:

- <<: *<название маршрута> (например - <<: *route_1)

Приложение 1. Создание учетной записи Microsoft Windows.

Создание учетной записи

Для создания учетной записи необходимо выполнить следующие действия:

  1. В панели управления Windows открыть консоль Computer Management (Управление компьютером).

  2. В консоли открыть раздел:

    System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Users (Пользователи).

  3. В контекстном меню раздела Users (Пользователи) выбрать функцию New User (Новый пользователь) для создания нового пользователя (см. Рисунок 1). Выбор функции создания нового пользователя
    Рисунок 1. Выбор функции создания нового пользователя.

  4. В открывшемся окне New User (Новый пользователь) ввести следующие денные (см. Рисунок 2):
  5. В поле Name (Имя) ввести имя нового пользователя.
  6. Установить пароль в поле Password (Пароль) и подтвердить его в поле Confirm Password (Подтвердить).
  7. При необходимости выставить настройки в пунктах:
  8. User cannot change password (Запретить смену пароля пользователем).
  9. Password never expires (Срок действия пароля неограничен).
  10. Для создания пользователя с заданными параметрами нажать кнопку Create (Создать) (см. Рисунок 2). Ввод данных нового пользователя
    Рисунок 2. Ввод данных нового пользователя.

Предоставление пользователю прав доступа к журналу событий

Для добавления пользователя в группу Event Log Readers (с правом доступа к журналам событий) необходимо выполнить следующие действия:
1. В консоли Computer Management (Управление компьютером) открыть раздел:

System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Groups (Группы)
  1. Выбрать в списке группу Event Log Readers (Читатели журнала событий) (см. Рисунок 3). Выбор группы Event Log Readers для включения учетной записи
    Рисунок 3. Выбор группы Event Log Readers для включения учетной записи.
  2. Открыть правой кнопкой мыши контекстное меню группы Event Log Readers (Читатели журнала событий) и выбрать пункт Add To Group (Добавить в группу). Откроется окно Event Log Readers Properties (Свойства: Читатели журнала событий) (см. Рисунок 4).
  3. Для добавления пользователя в группу:
  4. Нажать кнопку Add (Добавить).
  5. В открывшемся окне Select Users (Выбор: Пользователи) выбрать в списке пользователя, созданного в п.3.1.1, и добавить его в группу, нажав кнопку ОК.
  6. Для сохранения введенных настроек в окне Event Log Readers Properties (Свойства: Читатели журнала событий) нажать кнопку OK (см. Рисунок 4). Добавление пользователя в группу Event Log Readers
    Рисунок 4. Добавление пользователя в группу Event Log Readers.

Внесенные изменения вступают в действие при следующем входе нового пользователя в систему.

Приложение 2. Настройка расширенных политик аудита Windows.

Для настройки политик аудита на контроллерах домена используются групповые политики домена, которые необходимо сконфигурировать в соответствии с представленной инструкцией:

В групповой политике, применяемой для контроллеров домена, необходимо включить политику использования расширенной конфигурации политики аудита «Audit: Force audit policy subcategory settings (Windows Vista or later) (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Visa или следующие версии))».

Данную политику необходимо включить в разделе «Computer Configuration (Конфигурация компьютера)» → «Windows Settings (Конфигурация Windows)» → «Security Settings (Параметры безопасности)» → «Local Policies (Локальные политики)» → «Security Options (Параметры безопасности)» (см. Рисунок 1).

Добавление Audit: Force audit policy subcategory settings Рисунок 1. Добавление Audit: Force audit policy subcategory settings

Для активации аудита для контроллеров домена необходимо настроить групповую политику, которая распространяется на контейнер содержащий DC (Контроллеры домена), в соответствии с Таблицей 1. (см. Рисунок 2).

Изменение политик аудита Рисунок 2. Изменение политик аудита.

Таблица 1. Политики аудита ОС Windows 2008/2012

Политика аудита Тип событий
Аудит проверки учетных данных (Account Logon→Audit Credential Validation) Успех и Отказ
Аудит службы проверки подлинности Kerberos (Account Logon→Audit Kerberos Authentication Service) Успех и Отказ
Аудит операций с билетами службы Kerberos (Account Logon→Audit Kerberos Service Ticket Operations) Успех и Отказ
Аудит других событий входа учетных записей (Account Logon→Audit Other Account Logon Events) Успех и Отказ
Аудит управления группами приложений(Account Management→Audit Application Group Management) Успех и Отказ
Аудит управления учетными записями компьютеров (Account Management→Audit Computer Account Management) Успех и Отказ
Аудит управления группами распространения (Account Management→Audit Distribution Group Management) Успех и Отказ
Аудит других событий управления учетными записями (Account Management→Audit Other Account Management Events) Успех и Отказ
Аудит управления группами безопасности (Account Management→Audit Security Group Management) Успех и Отказ
Аудит управления учетными записями (Account Management→Audit User Account Management) Успех и Отказ
Аудит активности DPAPI(Detailed Tracking→Audit DPAPI Activity) Не фиксируются
Аудит создания процессов (Detailed Tracking→Audit Process Creation) Успех и Отказ
Аудит завершения процессов (Detailed Tracking→Audit Process Termination) Успех и Отказ
Аудит событий RPC (Detailed Tracking→Audit RPC Events) Не фиксируются
Аудит подробной репликации службы каталогов (DS Access→Audit Detailed Directory Service Replication) Не фиксируются
Аудит доступа к службе каталогов (DS Access→Audit Directory Service Access) Успех и Отказ
Аудит изменения службы каталогов (DS Access→Audit Directory Service Changes) Успех и Отказ
Аудит репликации службы каталогов (DS Access→Audit Directory Service Replication) Не фиксируются
Аудит блокировки учетных записей (Logon/Logoff→Audit Account Lockout) Успех и Отказ
Аудит расширенного режима IPsec (Logon/Logoff→Audit IPsec Extended Mode) Не фиксируются
Аудит основного режима IPsec (Logon/Logoff→Audit IPsec Main Mode) Не фиксируются
Аудит быстрого режима IPsec (Logon/Logoff→Audit IPsec Quick Mode) Не фиксируются
Аудит выхода из системы (Logon/Logoff→Audit Logoff) Успех
Аудит входа в систему (Logon/Logoff→Audit Logon) Успех и Отказ
Аудит сервера политики сети (Logon/Logoff→Audit Network Policy Server) Не фиксируются
Аудит других событий входа/выхода (Logon/Logoff→Audit Other Logon/Logoff Events) Успех и Отказ
Аудит специального входа (Logon/Logoff→Audit Special Logon) Успех и Отказ
Аудит событий, создаваемых приложениями(Object Access→ Audit Application Generated) Не фиксируются
Аудит сведений об общем файловом ресурсе (Object Access→ Audit Detailed File Share) Не фиксируются
Аудит общего файлового ресурса (Object Access→ Audit File Share) Успех и Отказ
Аудит файловой системы (Object Access→ Audit File System) Успех и Отказ
Аудит подключения платформы фильтрации (Object Access→ Audit Filtering Platform Connection) Не фиксируются
Аудит отбрасывания пакетов платформой фильтрации (Object Access→ Audit Filtering Platform Packet Drop) Не фиксируются
Аудит работы с дискрипторами(Object Access→ Audit Handle Manipulation) Не фиксируются
Аудит объектов ядра (Object Access→ Audit Kernel Object) Не фиксируются
Аудит других событий доступа к объектам(Object Access→ Audit Other Object Access Events) Не фиксируются
Аудит реестра (Object Access → Audit Registry) Успех и Отказ
Аудит диспетчера учетных записей безопасности (Object Access → Audit SAM) Не фиксируются
Аудит изменения политики аудита (Policy Change→ Audit Policy Change) Успех и отказ
Аудит изменения политики проверки подлинности (Policy Change→Audit Audit Authorization Policy Change) Успех и Отказ
Аудит изменения политики авторизации (Policy Change→Audit Authorization Policy Change) Успех и Отказ
Аудит изменения политики платформы фильтрации (Policy Change→Audit Filtering Platform Policy Change) Не фиксируются
Аудит изменения политики на уровне правил MPSSVC (Policy Change→Audit MPSSVC Rule-Level Policy Change) Успех и Отказ
Аудит других событий изменения политики (Policy Change→Audit Other Policy Change Events) Успех и Отказ
Аудит использования привилегий, затрагивающих конфиденциальные данные (Privilege Use→Audit Sensitive Privilege Use) Успех и Отказ
Аудит использования привилегий, не затрагивающих конфиденциальные данные (Privilege Use→Audit Non-Sensitive Privilege Use) Успех и Отказ
Аудит драйвера IPsec (System→Audit IPsec Driver) Не фиксируются
Аудит других системных событий (System→Audit Other System Events) Не фиксируются
Аудит изменения состояния безопасности (System→Audit Security State Change) Успех и Отказ
Аудит расширения системы безопасности (System→Audit Security System Extension) Успех и Отказ
Аудит целостности системы (System→Audit System Integrity) Успех и Отказ