Microsoft Active Directory Federation Services: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Microsoft Active Directory Federation Services (AD FS) в R-Vision SIEM с помощью агента R-Vision Endpoint.

Настройка AD FS

Настройка сбора событий журнала AD FS с помощью агента R-Vision Endpoint включает в себя:

настройку журналирования AD FS;
установку агента R-Vision Endpoint на конечную точку.

Настройка журналирования AD FS

На хосте AD FS включите аудит безопасности в локальной политике. Для этого:
1. Нажмите сочетание клавиш WIN+R. Откроется окно Run.
2. В открывшемся окне введите команду secpol.msc.
3. Нажмите на кнопку OK.
4. В оснастке Local Security Policy перейдите в раздел Security Settings → Local Policies → Audit Policy.
5. Включите логирование Success и Failure для политик Audit account logon events и Audit logon events.
Разрешите аудит в конфигурации AD FS и включите аудит входа, выполнив в PowerShell от имени администратора последовательно команды:
```
Set-AdfsProperties -AuditLevel Verbose
auditpol /set /subcategory:"Application Generated" /success:enable /failure:enable
```
Убедитесь, что служба AD FS настроена на аудит. Для этого:
1. Откройте оснастку AD FS.
2. Перейдите в раздел Action.
3. Откройте настройки AD FS.
4. В появившемся окне перейдите на вкладку Events.
5. Убедитесь, что все флажки установлены.

Установка агента R-Vision Endpoint

Для установки агента обратитесь к документации продукта R-Vision SIEM.

Установите агент R-Vision Endpoint на станцию и настройте его связь с R-Vision SIEM. После этого в веб-интерфейсе R-Vision SIEM в разделе Агенты появится информация о подключенном хосте.

rpoint newly added host

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.
Создайте группу и добавьте в нее узел, на котором установлен агент.
В созданной группе узлов в секции Чтение файлов нажмите на кнопку Добавить настройку ().
Настройте сбор событий из трех журналов типа eventchannel:
1. Для первого журнала: Имя журнала — Security, Фильтр — *[System[Provider[@Name='AD FS Auditing']]].
2. Для второго журнала: Имя журнала — AD FS/Admin, Фильтр — *.
3. Для третьего журнала: Имя журнала — Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational, Фильтр — *[System[EventID=1007]].
Нажмите на кнопку Сохранить.
Дождитесь применения политики группы на узле. Сбор событий настроен.

Добавление узла в группу

Для добавления узла в созданную группу:

В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты.
Выберите нужный узел и нажмите на кнопку на панели инструментов.
Выберите ранее созданную группу и нажмите на кнопку Добавить.
Дождитесь применения политики на агенте.

Настройка обработки событий в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант R-Vision Endpoint.
- Домен: введите значение в формате gw-<your_gateway_id>, где <your_gateway_id> — ID шлюза.
Добавьте на конвейер элемент Нормализатор с правилом Microsoft ADFS (идентификатор правила: RV-N-247).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft adfs pipeline

После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события AD FS.

Найти события AD FS в хранилище можно по следующему фильтру:

device_product = "adfs"

microsoft adfs storage

Была ли полезна эта страница?