Другое

ОС Windows. Утилита Sysmon

Об утилите

Sysmon (System Monitor) - утилита, которая позволяет получить более полные сведения о событиях Windows.

Ссылка на ресурс Microsoft для подробного изучения.

Для запуска утилиты необходимо, чтобы на машине, на которой планируется сбор событий, было расположено два файла: файл-установщик с расширением .bat или .exe и файл конфигурации с расширением .xml. Для удобства работы рекомендуется расположить эти файлы в одной папке.

Актуальную версию утилиты можно скачать с официального ресурса Microsoft

Настройка источника

1. Установите и настройте утилиту Sysmon:

   • Нажмите Пуск+S на клавиатуре

   • Введите в строке поиска cmd и нажмите Enter

   • Перейдите в папку, где лежат файл-установщик и файл конфигурации с помощью команды

     cd <directory>

     Пример: C:\Windows\system32> cd с:\Sysmon

   • Установите утилиту Sysmon с помощью команды sysmon.exe -i <configfile>

     Пример: C:\Windows>sysmon.exe -i sysmon.xml

2. После успешной установки в Просмотре событий Windows (Event Viewer) появится новый журнал (Channel) Microsoft-Windows-Sysmon/Operational.

Включение источника на Платформе

Процесс включения источника на Платформе не отличается от включения источника на Платформе для Microsoft Windows

Настройка коллектора событий

Процесс настройки лог-коллектора отличается от настройки коллектора событий для Microsoft Windows только настройкой журналов для сбора событий.

Для отправки событий журнала Sysmon на Платформу необходимо внести изменение в файл конфигурации лог-коллектора. В разделе eventlog_collector необходимо указать в строке channel имена всех журналов, события которых нужно отправить на Платформу, через запятую.

Пример: channel: ['Security','Microsoft-Windows-Sysmon/Operational']

Инструкция по настройке vipnet для отправки событий в платформу

Отправка событий в формате syslog + CEF

Чтобы настроить передачу данных в платформу Пангеорадар в формате CEF, выполните следующие действия:

1. Подключитесь к консоли Координатора и пройдите авторизацию с полномочиями администратора.

   user: user 
   password: 11111111
   
   Вход в режим администратора
   enabled (или en)
   password: 11111111
   

2. Определите идентификатор МСЭ, который содержится в приглашении командной строки в составе имени узла (например, xF1000-270E033A, где 270E033A — идентификатор МСЭ).

3. Данная настройка работает только в демоне iplircfg.

   • Остановите работу демона iplircfg командой: iplir stop (или ip sto)

   • Откройте файл конфигурации iplir.conf для редактирования командой: iplir config (или ip co)

   • Задайте параметры экспорта журнала в секции [misc]:

     cef_enabled=  yes.
     cef_ip = адрес платформы или лог-коллектора.
     cef_port = 514 (или любой другой, который будет использоваться в источнике.
     

     Дополнительный параметр:

     cef_format  = ips, или xf
     

   • Задайте параметры debug в секции [debug]

     [debug]:
     debuglevel = 3
     debuglogfile = syslog:daemon.debug  
     

     Секция debuglevel может иметь параметры от -1 до 4 (в старых випнетах версии 3.х до 5-го). Чем выше уровень детализации, тем более подробная информация выводится в журнал. Значение параметра -1 выключает ведение журнала (при этом некоторые важные системные события по-прежнему будут выводиться в журнал.

     Секция debuglogfile — источник информации, выводимой в журнал, в формате: syslog:<facility.level>, где: facility — процесс, формирующий информацию. Возможные значения: auth, authpriv, cron, daemon, ftp, kern, lpr, mail, mark, news, security, syslog, user, uucp, local0, local1, local2, local3, local4, local5, local6, local7. level — уровень важности информации. Возможные значения: emerg, panic, alert, crit, err, error, warn, warning, notice, info, debug, none.

     Значение параметра debuglogfile по умолчанию — syslog:daemon.debug

     Значение параметра debuglogfile = syslog:syslog.debug при запуске перезаписывает все другие добавленные параметры debuglogfile

   • Сохраните изменения и закройте конфигурационном файле iplir.conf. Для этого нажмите сочетание клавиш Ctrl+O, далее клавишу Enter и сочетание клавиш Ctrl+X.

   • Должно появиться сообщение:

     Verifying new configuration
     <I_CFG> Command: iplir config – iplir.conf has been edited successfully
     

   • В случае ошибки появится сообщение типа:

     Verifying new configuration
     
     /tmp/vipnet/user/iplir.conf/, line 151: invalid ‘/debuglogfile/’ value error: verification of on configuration has been failed/
     
     <I_CFG> Command:iplir config
     : incorrect configuration, please try again Roll back the changes are restore the previous version file [Yes/No]:
     

     При вводе Yes (или Y) возвращает предыдущий успешно сохраненный конфиг.

     При вводе No (или N) возвращает только что измененный конфиг (с ошибкой).

   • Запустите демон iplircfg командой: iplir start (или ip sta)

   • Проверить настройки сервиса iplir без его остановки:

     Iplir show config (или ip sh co)

   • Создайте разрешающее исходящее правило для Платформы/ лог-коллектора командой:

     firewall local add src @local dst [IP-адрес Платформы/лог-коллектора] udp dport 514 pass

     например:

     firewall local add src @local dst 192.168.0.2 udp dport 514 pass

   • Задайте параметр отправки событий на адрес платформы или лог-коллектора командой:

     machine set loghost 192.168.200.3

     Синтаксис – machine set loghost {<IP-адрес> | local | null}

     — IP-адрес удаленного сетевого узла, на который должен отправляться системный журнал (удаленное протоколирование).

     local — системный журнал хранится на самом ViPNet Coordinator HW (локальное протоколирование).

     null — выключение протоколирования.

   • Проверьте результат в Платформе / Просмотр событий. Должны появиться события.

Настройка win лог-коллектора на принятие событий от vipnet

cluster:
    url: "https://172.30.254.62:9000/cm/api/agent/"
    api_key: "99148537-fca4-6fd3-27be-bed283000389"
controller:
  port: 48000

metric_server:
  port: 48005

license_path: "C:\\log-collector\\pgr-agent.lic"
secret_file: "C:\\log-collector\\secret"
secret_storage: "C:\\log-Collector\\secret.storage"

api_server:  
  address: "172.30.254.106"
  port: 8080
    read_timeout: 60 
    write_timeout: 60
    wait: 5
    enable_tls: false
    cert_file: "C:/log-collector/certs/agent.crt"
    key_file: "C:/log-collector/certs/agent.key"
    cert_key_pass: ''
    require_client_cert: false
    ca_file: "C:/log-collector/certs62/pgr.crt"
    log_level: "DEBUG"

journal:
  port: 48004
    log_level: "INFO"
    log_path: "C:\\log-collector\\journal.log"
    rotation_size: 30
    max_backups: 7
    max_age: 7

out_file: &out_file
  id: "out_file"
  file: "C:\\log-collector\\ouput_file.txt"
    rotation_size: 10

udp_input_2: &udp_input_2
  id: "udp_input_2"
  host: "0.0.0.0"
    port: 514
    sock_buf_size: 0
    format: "raw"  (изменить на JSON)
    log_level: "INFO"
  encoding:
    change_to_utf8: false
        original_encoding: "cp1251"

udp_output: &udp_output
  id: "udp_output"
    target_host: "172.30.254.62"
  port: 2211
    batch_mode_enable: false
    batch_flush_interval: 5
    batch_flush_limit: 200
    ssl_compression: false
    require_cert: false
    ssl_enable: false
    cert_file: "client-cert.pem"
    key_file: "client-key.pem"
    cert_key_pass: ""
    ca_file: "ca.pem"
    log_level: "INFO"

senders:
  port: 48002
    out_file:
    - <<: *out_file
    udp:
    - <<: *udp_output

collectors:
    log_level: "INFO"
    udp_receiver:
   - <<: *udp_input_2

route_1: &route_1
    collector_id:
   - "udp_input_2"
    sender_id:
   - "out_file"
   - "udp_output"

routers:
    - <<: *route_1

Настройка Источника в платформе на принятие событий vipnet

Предварительно нужно создать Селектор сообщения в файле по пути

/opt/pangeoradar/termite2/venv/lib/python3.7/site-packages/termite_spu/type_selectors/type_selectors.yaml)

В тестовом режиме роутинг выглядит следующим образом.

Далее необходимо добавить источник: Источник/Управление источниками/Источники/ Добавить новый источник

Название: ViPNet
Тип: HW
Вендор: infotecs
Порт: 2211
Правила для rsyslog
Протокол: UDP
Формат: JSON -> JSON
Правила для termite
Селектор сообщения: vipnetrouting
Тип сообщения: vipnet
Парсер: vipnet_сef, vipnet
Нормализатор: vipnet
Часовой пояс: Europe/Moscow
Кодировка события: utf-8
Агрегация: пусто

Подключение новых источников, не поддерживаемых Платформой

1. Необходимо кликнуть на раздел “Источники”, “Управление источниками”,
2. В поле “Добавить новый источник” настроить новый источник:
   • В поля “Название”, “Тип”, “Вендор” необходимо указать соответствующие значения для добавляемой системы.
   • В поле “Порт” необходимо указать один из свободных портов, куда будут отправляться события с нового источника (+- диапазон 6000-8000).
   • В поле “input_type” необходимо указать протокол, по которому будут отправляться события.
   • В поле “template_format” необходимо выбрать один из шаблонов форматов, в которых будут приходить события.
   • В поле “message_type” необходимо указать идентификатор сообщений новой системы.
   • В поле “parsers” обязательно необходимо указать “common”.
   • В поле “normalizer” обязательно необходимо указать “passthrough”
3. После добавления нового источника его необходимо включить, после чего нажать на кнопку “Синхронизировать”.

Если все настроено правильно, то в индексе errors должны начать появляться события с добавленного источника.

Добавление UFW в качестве источника

1. Проверить статус UFW:

   $ sudo ufw status
   Status: active
   

2. В случае его неактивности включить:

   $ sudo ufw enable

3. Включить логирование и выбрать его уровень (можно также править в /etc/ufw/ufw.conf):

   $ sudo ufw logging on
   $ sudo ufw logging low | medium | high | full
   

4. Добавить в конфигурационный файл rsyslog’a строку:

   :msg,contains,"[UFW " @<ip-адрес коллектора>:<порт>

5. Перезапустить службу rsyslog.

   $ sudo systemctl restart rsyslog.service