Microsoft ADDS

Данное руководство описывает процесс настройки сбора и отправки событий Microsoft ADDS (Active Directory Domain Services) в R-Vision SIEM.

Настройка Microsoft ADDS

В настоящем руководстве рассматривается передача событий с помощью продукта R-Vision Endpoint.

Для настройки передачи событий выполните следующие шаги:

  1. Настройка журналирования Microsoft ADDS

  2. Настройка в R-Vision Endpoint

Настройка журналирования Microsoft ADDS

Чтобы настроить журналирование, включите логирование событий Microsoft через редактирование реестра, для этого:

  1. Используйте комбинацию клавиш WIN+R.

  2. В открывшемся окне введите команду regedit и нажмите на кнопку OK.

  3. В дереве навигации перейдите по пути Computer\ HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\NTDS\Diagnostics.

  4. Укажите следующие значения для полей 15 Field Enginering, 15 LDAP Interface Events, 16 LDAP Interface Events, 8 Directory Access:

    • Value Data: 5.

    • Base: Hexadecimal.

    microsoft adds catalog tree

    microsoft adds edit dword

  5. Установите на узле агент R-Vision Endpoint. Инструкции по работе с агентами R-Vision Endpoint представлены по ссылке.

Посмотреть логируемые события можно в Event Viewer\Windows Logs\Applications and Services Logs\Directory Service.

Настройка в R-Vision Endpoint

Для настройки передачи событий в R-Vision Endpoint:

  1. В веб-интерфейсе управления R-Vision Endpoint создайте группу, нажав на копку Создать группу (plus) в разделе Агенты.

  2. Введите имя группы и нажмите на кнопку Создать (plus).

  3. Добавьте узел, на котором установлен агент, для этого:

    1. Перейдите в раздел Агенты.

    2. Установите флажок напротив нужного вам хоста.

    3. Нажмите на кнопку r vision button agent to group.

    4. Выберите созданную ранее группу в выпадающем списке и нажмите на кнопку Добавить (plus).

  4. Перейдите в раздел Политика.

  5. В секции Чтение файлов/выполнение команд нажмите на кнопку Настроить (r vision button edit).

  6. Нажмите на кнопку Добавить (plus).

  7. В выпадающем списке Тип журнала выберите вариант eventchannel, а в поле Путь введите "Directory Service".

  8. Нажмите на кнопку Сохранить (r vision button save) в окне редактирования конфигурации.

  9. Нажмите на кнопку Сохранить и применить (r vision button save) в разделе Политика.

  10. Дождитесь применения политики группы на узле.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: R-Vision Endpoint.

    • Порт точки входа: в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft AD Directory Services (идентификатор правила: RV-N-147).

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft adds pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft ADDS.

Найти события Microsoft ADDS в хранилище можно по следующему фильтру:

dproduct = "Active Directory Domain Services"

microsoft adds events storage filter

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 322 80 40 sales@rvision.ru

О компании Пользовательское соглашение Политика cookie