Microsoft ADWS

Данное руководство содержит инструкции по настройке подключения к системе R-Vision SIEM источника событий ADWS (Active Directory Web Services).

Подготовка инфраструктуры

Microsoft ADWS устанавливается по умолчанию при установке роли ADDS (Active Directory Domain Services). Дополнительная настройка службы не требуется.

Установите на узле, работу которого требуется контролировать, агент R-Point.

Настройка сбора событий с источника на стороне R-Vision Endpoint

  1. Выберите в интерфейсе R-Vision Endpoint группу установленных ранее агентов и в секции Чтение файлов/выполнение команд нажмите на кнопку Добавить (plus).

  2. В выпадающем списке Тип журнала выберите eventchannel.

  3. В поле Путь введите ADWS.

  4. Нажмите на кнопку Сохранить и применить.

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    1. Тип точки входа — R-Vision Endpoint;

    2. Название — любое понятное.

    3. Порт точки входа — в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер Нормализатор с правилом Microsoft Active Directory Web Services (идентификатор RV-N-58). Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

    Пример конфигурации конвейера

    ADWSPipelineScheme

При корректной настройке в выбранном хранилище появятся события журнала ADWS.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение