Перейти к содержанию

Операционные системы

Microsoft Windows 7+/2008+

Настройка источника

  1. Создание учетной записи для сбора событий.
  2. Если источник находится в домене, то на контроллере домена необходимо создать учетную запись и добавить ее в группу Event Log Readers.

  3. Если источник не находится в домене, то необходимо создать локальную учетную запись с аналогичным набором прав.
    Процесс создания учетной записи приведен в разделе Создание учетной записи Microsoft Windows.

  4. При использовании межсетевого экрана на узле, необходимо сделать правило для входящих соединений.
    Настройка расширенного аудита представлена в разделе Настройка расширенных политик аудита Windows.

Включение источника на Платформе

Для информации! Включение источника в Платформе подробно представлено в разделе Управление источниками в Платформе — Включение/выключение источников и их синхронизация.

  1. Зайдите в веб-консоль Платформы, перейти в раздел «Источники» — «Управление источниками».
  2. Найдите в списке доступных источников «Microsoft-Windows-Eventlog» и включить его.
  3. Нажмите на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора.

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента Eventlog. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора — Компонент Eventlog.
    Основные параметры, которые необходимо указать:

    channel: ['<название журнала, который нужно собирать>']

    Например:

    channel: ['Security', 'System']

    Заполнить вкладку remote, по следующему принципу: 

    enabled: true (включение удаленного сбора)  
user: <"username в открытом или зашифрованном виде"> (имя пользователя с правами на чтение журнала событий)  
password: <"password в открытом или зашифрованном виде"> (пароль пользователя)  
domain: <"домен пользователя"> (если машина не в домене - ".")  
remote_servers: [<"ip-адрес удаленного узла">] (адрес/список адресов серверов для сбора событий)  
auth_method: <"метод авторизации"> (выбрать один из доступных методов авторизации: Negotiate, Kerberos, NTLM)

  2. После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output). В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP. Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP.
    Основные параметры, которые необходимо указать: 

    target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)  
port: <"порт"> (стандартный порт для данного источника 1514)

  3. Далее необходимо включить компоненты сбора (collectors) и отправки (senders). Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Включение компонентов.
    Основные параметры, которые нужно указать при включении компонентов сбора: 

    collectors:  
event_log:  
- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

    Основные параметры, которые нужно указать при включении компонентов отправки: 

    senders:  
tcp:  
- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
    4. После чего необходимо произвести настройку маршрутизации событий.
    Пример настройки по умолчанию можно найти в Руководство по настройке лог-коллектора — Маршрутизация событий.
    Основные параметры, которые нужно указать при настройке маршрута:

    route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">

  4. После нужно включить маршрут в разделе routers. Пример включения маршрута:

    routers:

- <<: *<название маршрута> (например - <<: *route_1)

Создание учетной записи Microsoft Windows.

Создание учетной записи

Для создания учетной записи необходимо выполнить следующие действия:

  1. В панели управления Windows открыть консоль Computer Management (Управление компьютером).

  2. В консоли открыть раздел:

    System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Users (Пользователи).

  3. В контекстном меню раздела Users (Пользователи) выбрать функцию New User (Новый пользователь) для создания нового пользователя (см. рисунок 1).

    Выбор функции создания нового пользователя

    Рисунок 1 -- Выбор функции создания нового пользователя.

  4. В открывшемся окне New User (Новый пользователь) ввести следующие денные (см. рисунок 2):

    • В поле Name (Имя) ввести имя нового пользователя.
    • Установить пароль в поле Password (Пароль) и подтвердить его в поле Confirm Password (Подтвердить).
    • При необходимости выставить настройки в пунктах:
    • User cannot change password (Запретить смену пароля пользователем).
    • Password never expires (Срок действия пароля неограничен).

  5. Для создания пользователя с заданными параметрами нажать кнопку Create (Создать - см. рисунок 2).

    Ввод данных нового пользователя

    Рисунок 2 -- Ввод данных нового пользователя.

Предоставление пользователю прав доступа к журналу событий

Для добавления пользователя в группу Event Log Readers (с правом доступа к журналам событий) необходимо выполнить следующие действия:

  1. В консоли Computer Management (Управление компьютером) открыть раздел:

    System Tools (Служебные программы) → Local Users and Groups (Локальные пользователи и группы) → Groups (Группы)

  2. Выбрать в списке группу Event Log Readers (Читатели журнала событий) (см. рисунок 3).

    Выбор группы Event Log Readers для включения учетной записи

    Рисунок 3 -- Выбор группы Event Log Readers для включения учетной записи.

  3. Открыть правой кнопкой мыши контекстное меню группы Event Log Readers (Читатели журнала событий) и выбрать пункт Add To Group (Добавить в группу). Откроется окно Event Log Readers Properties (Свойства: Читатели журнала событий) (см. рисунок 4).

  4. Для добавления пользователя в группу:
    • Нажать кнопку Add (Добавить).
    • В открывшемся окне Select Users (Выбор: Пользователи) выбрать в списке пользователя, созданного в п.3.1.1, и добавить его в группу, нажав кнопку ОК.

  5. Для сохранения введенных настроек в окне Event Log Readers Properties (Свойства: Читатели журнала событий) нажать кнопку OK (см. рисунок 4).

    Добавление пользователя в группу Event Log Readers

    Рисунок 4 -- Добавление пользователя в группу Event Log Readers.

Внесенные изменения вступают в действие при следующем входе нового пользователя в систему.

Настройка расширенных политик аудита Windows

Для настройки политик аудита на контроллерах домена используются групповые политики домена, которые необходимо сконфигурировать в соответствии с представленной инструкцией:

В групповой политике, применяемой для контроллеров домена, необходимо включить политику использования расширенной конфигурации политики аудита «Audit: Force audit policy subcategory settings (Windows Vista or later) (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Visa или следующие версии))».

Данную политику необходимо включить в разделе «Computer Configuration (Конфигурация компьютера)» → «Windows Settings (Конфигурация Windows)» → «Security Settings (Параметры безопасности)» → «Local Policies (Локальные политики)» → «Security Options (Параметры безопасности)» (см. рисунок 5).

Добавление Audit: Force audit policy subcategory settings

Рисунок 5 -- Добавление Audit: Force audit policy subcategory settings

Для активации аудита для контроллеров домена необходимо настроить групповую политику, которая распространяется на контейнер содержащий DC (Контроллеры домена), в соответствии с таблицей 1. (см. рисунок 6).

Изменение политик аудита

Рисунок 6 -- Изменение политик аудита.

Таблица 1 -- Политики аудита ОС Windows 2008/2012

Политика аудита Тип событий
Аудит проверки учетных данных (Account Logon→Audit Credential Validation) Успех и Отказ
Аудит службы проверки подлинности Kerberos (Account Logon→Audit Kerberos Authentication Service) Успех и Отказ
Аудит операций с билетами службы Kerberos (Account Logon→Audit Kerberos Service Ticket Operations) Успех и Отказ
Аудит других событий входа учетных записей (Account Logon→Audit Other Account Logon Events) Успех и Отказ
Аудит управления группами приложений(Account Management→Audit Application Group Management) Успех и Отказ
Аудит управления учетными записями компьютеров (Account Management→Audit Computer Account Management) Успех и Отказ
Аудит управления группами распространения (Account Management→Audit Distribution Group Management) Успех и Отказ
Аудит других событий управления учетными записями (Account Management→Audit Other Account Management Events) Успех и Отказ
Аудит управления группами безопасности (Account Management→Audit Security Group Management) Успех и Отказ
Аудит управления учетными записями (Account Management→Audit User Account Management) Успех и Отказ
Аудит активности DPAPI(Detailed Tracking→Audit DPAPI Activity) Не фиксируются
Аудит создания процессов (Detailed Tracking→Audit Process Creation) Успех и Отказ
Аудит завершения процессов (Detailed Tracking→Audit Process Termination) Успех и Отказ
Аудит событий RPC (Detailed Tracking→Audit RPC Events) Не фиксируются
Аудит подробной репликации службы каталогов (DS Access→Audit Detailed Directory Service Replication) Не фиксируются
Аудит доступа к службе каталогов (DS Access→Audit Directory Service Access) Успех и Отказ
Аудит изменения службы каталогов (DS Access→Audit Directory Service Changes) Успех и Отказ
Аудит репликации службы каталогов (DS Access→Audit Directory Service Replication) Не фиксируются
Аудит блокировки учетных записей (Logon/Logoff→Audit Account Lockout) Успех и Отказ
Аудит расширенного режима IPsec (Logon/Logoff→Audit IPsec Extended Mode) Не фиксируются
Аудит основного режима IPsec (Logon/Logoff→Audit IPsec Main Mode) Не фиксируются
Аудит быстрого режима IPsec (Logon/Logoff→Audit IPsec Quick Mode) Не фиксируются
Аудит выхода из системы (Logon/Logoff→Audit Logoff) Успех
Аудит входа в систему (Logon/Logoff→Audit Logon) Успех и Отказ
Аудит сервера политики сети (Logon/Logoff→Audit Network Policy Server) Не фиксируются
Аудит других событий входа/выхода (Logon/Logoff→Audit Other Logon/Logoff Events) Успех и Отказ
Аудит специального входа (Logon/Logoff→Audit Special Logon) Успех и Отказ
Аудит событий, создаваемых приложениями(Object Access→ Audit Application Generated) Не фиксируются
Аудит сведений об общем файловом ресурсе (Object Access→ Audit Detailed File Share) Не фиксируются
Аудит общего файлового ресурса (Object Access→ Audit File Share) Успех и Отказ
Аудит файловой системы (Object Access→ Audit File System) Успех и Отказ
Аудит подключения платформы фильтрации (Object Access→ Audit Filtering Platform Connection) Не фиксируются
Аудит отбрасывания пакетов платформой фильтрации (Object Access→ Audit Filtering Platform Packet Drop) Не фиксируются
Аудит работы с дискрипторами(Object Access→ Audit Handle Manipulation) Не фиксируются
Аудит объектов ядра (Object Access→ Audit Kernel Object) Не фиксируются
Аудит других событий доступа к объектам(Object Access→ Audit Other Object Access Events) Не фиксируются
Аудит реестра (Object Access → Audit Registry) Успех и Отказ
Аудит диспетчера учетных записей безопасности (Object Access → Audit SAM) Не фиксируются
Аудит изменения политики аудита (Policy Change→ Audit Policy Change) Успех и отказ
Аудит изменения политики проверки подлинности (Policy Change→Audit Audit Authorization Policy Change) Успех и Отказ
Аудит изменения политики авторизации (Policy Change→Audit Authorization Policy Change) Успех и Отказ
Аудит изменения политики платформы фильтрации (Policy Change→Audit Filtering Platform Policy Change) Не фиксируются
Аудит изменения политики на уровне правил MPSSVC (Policy Change→Audit MPSSVC Rule-Level Policy Change) Успех и Отказ
Аудит других событий изменения политики (Policy Change→Audit Other Policy Change Events) Успех и Отказ
Аудит использования привилегий, затрагивающих конфиденциальные данные (Privilege Use→Audit Sensitive Privilege Use) Успех и Отказ
Аудит использования привилегий, не затрагивающих конфиденциальные данные (Privilege Use→Audit Non-Sensitive Privilege Use) Успех и Отказ
Аудит драйвера IPsec (System→Audit IPsec Driver) Не фиксируются
Аудит других системных событий (System→Audit Other System Events) Не фиксируются
Аудит изменения состояния безопасности (System→Audit Security State Change) Успех и Отказ
Аудит расширения системы безопасности (System→Audit Security System Extension) Успех и Отказ
Аудит целостности системы (System→Audit System Integrity) Успех и Отказ