Microsoft ADWS

Данное руководство содержит инструкции по настройке подключения к системе R-Vision SIEM источника событий ADWS (Active Directory Web Services).

Подготовка инфраструктуры

Microsoft ADWS устанавливается по умолчанию при установке роли ADDS (Active Directory Domain Services). Дополнительная настройка службы не требуется.

Установите агент R-Point на узле, работу которого требуется контролировать.

Настройка сбора событий источника на стороне R-Vision Endpoint

  1. Выберите в интерфейсе R-Vision Endpoint группу установленных ранее агентов и в секции Чтение файлов/выполнение команд нажмите на кнопку Добавить (plus).

  2. В выпадающем списке Тип журнала выберите вариант eventchannel.

  3. В поле Путь введите значение ADWS.

  4. Нажмите на кнопку Сохранить и применить.

Настройка в R-Vision SIEM

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Порт точки входа: введите значение в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft Active Directory Web Services (идентификатор правила: RV-N-58).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

ADWSPipelineScheme

Если настройка выполнена корректно, в хранилище начнут поступать события журнала ADWS.

Найти события ADWS в хранилище можно по следующему фильтру:

dproduct = "ADWS"

microsoft adws storage
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение