Microsoft Active Directory Domain Services (ADDS): настройка источника

Данное руководство описывает процесс отправки событий из журнала Windows Domain Services в R-Vision SIEM с помощью продукта R-Vision Endpoint в составе платформы EVO.

Настройка Windows для сбора событий ADDS

В этом разделе описана настройка сбора событий журнала Domain Services с помощью R-Vision EVO Agent.

Процесс состоит из трех шагов:

  1. Настройка сбора событий журнала Domain Services

  2. Установка и подключение агента R-Vision EVO

  3. Настройка политики сбора событий в SIEM

Настройка сбора событий журнала Domain Services

Чтобы события появлялись в журнале Domain Services, необходимо включить аудит в настройках Windows. Политику можно применить следующими способами:

  • через GPO (рекомендуется для домена);

  • локально — для отдельных хостов (не рекомендуется для масштабного использования).

Настройка через доменные политики

Предварительные требования

  • Ваша Windows-машина должна быть включена в домен.

  • Ваша учетная запись должна обладать правами администратора домена (Domain Admin).

  • Для сбора событий должны быть настроены параметры аудита.

Настройка сбора событий Windows

Чтобы настроить сбор событий Windows, выполните следующие действия:

  1. Откройте Group Policy Management.

  2. Создайте новую GPO или отредактируйте существующую.

  3. Перейдите в раздел Computer Configuration → Policies → Windows Settings → Domain Services Settings → Advanced Audit Policy Configuration.

  4. Включите необходимые параметры аудита.

  5. Привяжите политику к нужному OU.

  6. Дождитесь применения политики на хостах или выполните gpupdate /force.

Настройка через локальные политики

Предварительные требования

  • Ваша учетная запись должна обладать правами локального администратора.

  • Для сбора событий должны быть настроены параметры аудита.

Настройка сбора событий Windows

Чтобы настроить сбор событий Windows, выполните следующие действия:

  1. Откройте Local Domain Services Policy (secpol.msc).

  2. Перейдите в раздел Local Policies → Audit Policy или Advanced Audit Policy Configuration.

  3. Включите необходимые параметры аудита (Успех / Отказ).

  4. Примените изменения.

  5. Обновите политики командой gpupdate /force или перезагрузите хост.

Настройка параметров аудита

В групповой политике устройства включите следующие параметры:

Расширенный аудит событий:

  • Аудит изменений службы каталогов:

    • Успех;

    • Отказ.

  • Аудит управления учетными записями пользователей:

    • Успех;

    • Отказ.

  • Аудит управления группами безопасности:

    • Успех;

    • Отказ.

  • Аудит управления группами рассылки:

    • Успех;

    • Отказ.

  • Аудит управления учетными записями компьютера:

    • Успех;

    • Отказ.

  • Проверка учетных данных аудита:

    • Успех;

    • Отказ.

  • Аудит доступа к службе каталогов:

    • Успех;

    • Отказ.

      Для корректного сбора событий Аудит доступа к службе каталогов требуется дополнительная настройка прав доступа к объектам Active Directory. Настройте права согласно официальной инструкции Microsoft.

Пример включения одного из параметров аудита:

microsoft adds audit domain

Установка и подключение агента R-Vision EVO

Установите R-Vision EVO Agent на целевой хост, следуя официальной инструкции.

После установки настройте подключение агента к менеджеру агентов SIEM в соответствии с инструкцией.

Настройка политики сбора событий в SIEM

Для сбора событий журнала Windows Domain Services создайте политику сбора и добавьте в нее требуемый узел. Информацию о работе с группами агентов можно найти в инструкции по настройке групп.

  1. Перейдите к настройке нужной группы агентов.

  2. Убедитесь, что переключатель Чтение файлов переведен в активное положение.

  3. Добавьте новый элемент:

    • Тип журнала: eventchannel.

    • Имя журнала: Domain Services.

    • Фильтр (формат XPath):

      • для сбора всех событий укажите *;

      • для сбора конкретных событий задайте XPath-фильтр.

Пример конфигурации:

microsoft adds evo configure

Информацию о формировании корректных XPath-фильтров можно найти в документации по синтаксису XPath.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Домен: введите значение gw-<your_gateway_id>, где <your_gateway_id> — ID вашего шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft Active Directory Domain Services (идентификатор правила: RV-N-277).

  4. Соедините точку входа с нормализатором.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft adds pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Active Directory Domain Services.

Найти события Microsoft Active Directory Domain Services в хранилище можно по следующему фильтру:

deviceEventClassId = "microsoft-windows-activedirectory_domainservice"

microsoft adds storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь