Microsoft IIS

Данное руководство описывает процесс настройки сбора событий Microsoft IIS (Internet Information Services) и их отправки в R-Vision SIEM.

Настройка Microsoft IIS

В настоящем руководстве рассматривается передача событий с помощью продукта R-Vision Endpoint.

Включите логирование событий Microsoft через Event Viewer:

В дереве навигации перейдите по пути Microsoft → Windows → IIS Logging → Logs.
Чтобы настроить журналирование, выполните команду Enable Log в контекстном меню.
Установите на узле агент R-Vision Endpoint.

В веб-интерфейсе управления R-Vision Endpoint создайте группу и добавьте в нее узел, на котором установлен агент.
В созданной группе узлов в секции Чтение файлов/выполнение команд нажмите на кнопку Добавить.
В выпадающем списке Тип журнала выберите вариант eventchannel.
В поле Путь введите значение Microsoft-Windows-IIS-Logging/Logs.
Нажмите на кнопку Сохранить и применить.
Дождитесь применения политики группы на узле. Сбор событий настроен.

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант R-Vision Endpoint.
- Порт точки входа: введите значение в соответствии с настройками на стороне сервера.
Добавьте на конвейер элемент Нормализатор с правилом Microsoft IIS (идентификатор правила: RV-N-64).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft iis pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft IIS.

Найти события Microsoft IIS в хранилище можно по следующему фильтру:

dproduct = "Microsoft-Windows-IIS-Logging"

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.