Microsoft Endpoint Configuration Manager: настройка источника

Данное руководство описывает процесс настройки сбора событий Microsoft ECM и их отправки в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

Сетевая доступность сервера СУБД источника по целевому порту и протоколу для каждой ноды кластера R-Vision SIEM.
Учетная запись в СУБД с правами на чтение таблицы dbo.Alert.

Настройка СУБД MS SQL

События Microsoft ECM записываются в таблицу dbo.Alert базы данных CCM СУБД MS SQL. Для настройки сбора логов из базы данных необходимо подключиться к ней с использованием сервисной учетной записи (далее — УЗ).

Создание учетной записи в СУБД MS SQL

Чтобы создать сервисную УЗ, подключитесь к СУБД с правами администратора. Для этого выполните следующие действия в SQL Server Management Studio:

Выберите New Login в контекстном меню для Security/Logins.
Создайте сервисную учетную запись.
Предоставьте учетной записи права на чтение базы CCM.

Настройка сервера MS SQL

В настройках SQL Server Configuration Manager убедитесь, что TCP/IP включен в конфигурации сети SQL Server.

microsoft ecm mssql listen tcp

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:
1. Перейдите в раздел Ресурсы → Секреты → Создать.
2. В раскрывшемся окне создания секрета заполните поля:
  - Название: введите название секрета.
  - Описание (опционально): опишите, для чего будет использоваться секрет.
  - Тип секрета: выберите вариант Строка подключения.
  - Строка подключения: введите строку вида:
    
    jdbc:sqlserver://<DB_SERVER>\<DB_INSTANCE>:<DB_PORT>;encrypt=false;databaseName=<DB_NAME>;user=<DB_USER>;password=<DB_PASSWORD>
    
    Здесь:
    
    <DB_SERVER>: IP адрес инстанса СУБД.
    
    <DB_INSTANCE>: название инстанса СУБД.
    
    <DB_PORT>: порт инстанса СУБД (для MS SQL стандартный порт 1433).
    
    <DB_INSTANCE>: название инстанса СУБД.
    
    <DB_NAME>: имя базы, используемой продуктом ECM.
    
    <DB_USER>: системный аккаунт с правами на чтение.
    
    <DB_PASSWORD>: пароль системного аккаунта.
3. Нажмите на кнопку Создать.
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Database.
- Драйвер базы данных: выберите вариант MS SQL.
- Адрес подключения: выберите секрет, созданный ранее.
- SQL-запрос: введите запрос вида:
  SELECT @@SERVERNAME AS hostname, 'ecm' AS appname, ac.Name AS className, al.AlertID AS alertId, al.TypeID, al.Name AS alertName, al.Severity, al.CreatedBy, al.CreationTime, al.ModifiedBy, al.ClosedBy FROM dbo.Alert al JOIN dbo.AlertClass ac ON ac.TypeID = al.TypeID WHERE alertId > ? ORDER BY al.AlertID ASC;
  При большом количестве событий в СУБД рекомендуется добавлять TOP 10000 в начало SQL-запроса.
- Поле идентификатора: введите ключ alertId со значением 1.
- Интервал запроса, секунд: введите значение 15.
Добавьте на конвейер элемент Нормализатор с правилом Microsoft ECM (идентификатор правила: RV-N-325).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft ecm pipeline558

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать уведомления консоли ECM.

Найти события Microsoft ECM в хранилище можно по следующему фильтру:

device_product = "ecm"

Была ли полезна эта страница?