Другое
ОС Windows. Утилита Sysmon
Об утилите
Sysmon (System Monitor) - утилита, которая позволяет получить более полные сведения о событиях Windows.
Ссылка на ресурс Microsoft для подробного изучения.
Для запуска утилиты необходимо, чтобы на машине, на которой планируется сбор событий, было расположено два файла: файл-установщик с расширением .bat или .exe и файл конфигурации с расширением .xml. Для удобства работы рекомендуется расположить эти файлы в одной папке.
Актуальную версию утилиты можно скачать с официального ресурса Microsoft
Настройка источника
-
Установите и настройте утилиту Sysmon:
-
Нажмите Пуск+S на клавиатуре
-
Введите в строке поиска cmd и нажмите Enter
-
Перейдите в папку, где лежат файл-установщик и файл конфигурации с помощью команды
cd <directory>
Пример: C:\Windows\system32> cd с:\Sysmon
-
Установите утилиту Sysmon с помощью команды
sysmon.exe -i <configfile>
Пример: C:\Windows>sysmon.exe -i sysmon.xml
-
-
После успешной установки в Просмотре событий Windows (Event Viewer) появится новый журнал (Channel) Microsoft-Windows-Sysmon/Operational.
Включение источника на Платформе
Процесс включения источника на Платформе не отличается от включения источника на Платформе для Microsoft Windows
Настройка коллектора событий
Процесс настройки лог-коллектора отличается от настройки коллектора событий для Microsoft Windows только настройкой журналов для сбора событий.
Для отправки событий журнала Sysmon на Платформу необходимо внести изменение в файл конфигурации лог-коллектора. В разделе eventlog_collector необходимо указать в строке channel имена всех журналов, события которых нужно отправить на Платформу, через запятую.
Пример: channel: ['Security','Microsoft-Windows-Sysmon/Operational']
Инструкция по настройке vipnet для отправки событий в платформу
Отправка событий в формате syslog + CEF
Чтобы настроить передачу данных в платформу Пангеорадар в формате CEF, выполните следующие действия:
-
Подключитесь к консоли Координатора и пройдите авторизацию с полномочиями администратора.
user: user password: 11111111 Вход в режим администратора enabled (или en) password: 11111111
-
Определите идентификатор МСЭ, который содержится в приглашении командной строки в составе имени узла (например, xF1000-270E033A, где 270E033A — идентификатор МСЭ).
-
Данная настройка работает только в демоне iplircfg.
-
Остановите работу демона iplircfg командой:
iplir stop
(илиip sto
) -
Откройте файл конфигурации iplir.conf для редактирования командой:
iplir config
(илиip co
) -
Задайте параметры экспорта журнала в секции [misc]:
cef_enabled= yes. cef_ip = адрес платформы или лог-коллектора. cef_port = 514 (или любой другой, который будет использоваться в источнике.
Дополнительный параметр:
cef_format = ips, или xf
-
Задайте параметры debug в секции
[debug]
[debug]: debuglevel = 3 debuglogfile = syslog:daemon.debug
Секция debuglevel может иметь параметры от -1 до 4 (в старых випнетах версии 3.х до 5-го). Чем выше уровень детализации, тем более подробная информация выводится в журнал. Значение параметра -1 выключает ведение журнала (при этом некоторые важные системные события по-прежнему будут выводиться в журнал.
Секция debuglogfile — источник информации, выводимой в журнал, в формате:
syslog:<facility.level>
, где: facility — процесс, формирующий информацию. Возможные значения: auth, authpriv, cron, daemon, ftp, kern, lpr, mail, mark, news, security, syslog, user, uucp, local0, local1, local2, local3, local4, local5, local6, local7. level — уровень важности информации. Возможные значения: emerg, panic, alert, crit, err, error, warn, warning, notice, info, debug, none.Значение параметра debuglogfile по умолчанию — syslog:daemon.debug
Значение параметра debuglogfile = syslog:syslog.debug при запуске перезаписывает все другие добавленные параметры debuglogfile
-
Сохраните изменения и закройте конфигурационном файле iplir.conf. Для этого нажмите сочетание клавиш Ctrl+O, далее клавишу Enter и сочетание клавиш Ctrl+X.
-
Должно появиться сообщение:
Verifying new configuration <I_CFG> Command: iplir config – iplir.conf has been edited successfully
-
В случае ошибки появится сообщение типа:
Verifying new configuration /tmp/vipnet/user/iplir.conf/, line 151: invalid ‘/debuglogfile/’ value error: verification of on configuration has been failed/ <I_CFG> Command:iplir config : incorrect configuration, please try again Roll back the changes are restore the previous version file [Yes/No]:
При вводе Yes (или Y) возвращает предыдущий успешно сохраненный конфиг.
При вводе No (или N) возвращает только что измененный конфиг (с ошибкой).
-
Запустите демон iplircfg командой:
iplir start
(илиip sta
) -
Проверить настройки сервиса iplir без его остановки:
Iplir show config (или ip sh co)
-
Создайте разрешающее исходящее правило для Платформы/ лог-коллектора командой:
firewall local add src @local dst [IP-адрес Платформы/лог-коллектора] udp dport 514 pass
например:
firewall local add src @local dst 192.168.0.2 udp dport 514 pass
-
Задайте параметр отправки событий на адрес платформы или лог-коллектора командой:
machine set loghost 192.168.200.3
Синтаксис –
machine set loghost {<IP-адрес> | local | null}
— IP-адрес удаленного сетевого узла, на который должен отправляться системный журнал (удаленное протоколирование). local — системный журнал хранится на самом ViPNet Coordinator HW (локальное протоколирование).
null — выключение протоколирования.
-
Проверьте результат в Платформе / Просмотр событий. Должны появиться события.
-
Настройка win лог-коллектора на принятие событий от vipnet
cluster:
url: "https://172.30.254.62:9000/cm/api/agent/"
api_key: "99148537-fca4-6fd3-27be-bed283000389"
controller:
port: 48000
metric_server:
port: 48005
license_path: "C:\\log-collector\\pgr-agent.lic"
secret_file: "C:\\log-collector\\secret"
secret_storage: "C:\\log-Collector\\secret.storage"
api_server:
address: "172.30.254.106"
port: 8080
read_timeout: 60
write_timeout: 60
wait: 5
enable_tls: false
cert_file: "C:/log-collector/certs/agent.crt"
key_file: "C:/log-collector/certs/agent.key"
cert_key_pass: ''
require_client_cert: false
ca_file: "C:/log-collector/certs62/pgr.crt"
log_level: "DEBUG"
journal:
port: 48004
log_level: "INFO"
log_path: "C:\\log-collector\\journal.log"
rotation_size: 30
max_backups: 7
max_age: 7
out_file: &out_file
id: "out_file"
file: "C:\\log-collector\\ouput_file.txt"
rotation_size: 10
udp_input_2: &udp_input_2
id: "udp_input_2"
host: "0.0.0.0"
port: 514
sock_buf_size: 0
format: "raw" (изменить на JSON)
log_level: "INFO"
encoding:
change_to_utf8: false
original_encoding: "cp1251"
udp_output: &udp_output
id: "udp_output"
target_host: "172.30.254.62"
port: 2211
batch_mode_enable: false
batch_flush_interval: 5
batch_flush_limit: 200
ssl_compression: false
require_cert: false
ssl_enable: false
cert_file: "client-cert.pem"
key_file: "client-key.pem"
cert_key_pass: ""
ca_file: "ca.pem"
log_level: "INFO"
senders:
port: 48002
out_file:
- <<: *out_file
udp:
- <<: *udp_output
collectors:
log_level: "INFO"
udp_receiver:
- <<: *udp_input_2
route_1: &route_1
collector_id:
- "udp_input_2"
sender_id:
- "out_file"
- "udp_output"
routers:
- <<: *route_1
Настройка Источника в платформе на принятие событий vipnet
Предварительно нужно создать Селектор сообщения в файле по пути
/opt/pangeoradar/termite2/venv/lib/python3.7/site-packages/termite_spu/type_selectors/type_selectors.yaml)
В тестовом режиме роутинг выглядит следующим образом.
Далее необходимо добавить источник: Источник/Управление источниками/Источники/ Добавить новый источник
Название: ViPNet
Тип: HW
Вендор: infotecs
Порт: 2211
Правила для rsyslog
Протокол: UDP
Формат: JSON -> JSON
Правила для termite
Селектор сообщения: vipnetrouting
Тип сообщения: vipnet
Парсер: vipnet_сef, vipnet
Нормализатор: vipnet
Часовой пояс: Europe/Moscow
Кодировка события: utf-8
Агрегация: пусто
Подключение новых источников, не поддерживаемых Платформой
- Необходимо кликнуть на раздел “Источники”, “Управление источниками”,
- В поле “Добавить новый источник” настроить новый источник:
- В поля “Название”, “Тип”, “Вендор” необходимо указать соответствующие значения для добавляемой системы.
- В поле “Порт” необходимо указать один из свободных портов, куда будут отправляться события с нового источника (+- диапазон 6000-8000).
- В поле “input_type” необходимо указать протокол, по которому будут отправляться события.
- В поле “template_format” необходимо выбрать один из шаблонов форматов, в которых будут приходить события.
- В поле “message_type” необходимо указать идентификатор сообщений новой системы.
- В поле “parsers” обязательно необходимо указать “common”.
- В поле “normalizer” обязательно необходимо указать “passthrough”
- После добавления нового источника его необходимо включить, после чего нажать на кнопку “Синхронизировать”.
Если все настроено правильно, то в индексе errors должны начать появляться события с добавленного источника.
Добавление UFW в качестве источника
-
Проверить статус UFW:
$ sudo ufw status Status: active
-
В случае его неактивности включить:
$ sudo ufw enable
-
Включить логирование и выбрать его уровень (можно также править в
/etc/ufw/ufw.conf
):$ sudo ufw logging on $ sudo ufw logging low | medium | high | full
-
Добавить в конфигурационный файл rsyslog’a строку:
:msg,contains,"[UFW " @<ip-адрес коллектора>:<порт>
-
Перезапустить службу rsyslog.
$ sudo systemctl restart rsyslog.service