Microsoft Windows PowerShell: настройка источника

Данное руководство описывает процесс настройки сбора событий Microsoft Windows PowerShell и их отправки в R-Vision SIEM.

Предварительные требования

Перед началом настройки убедитесь, что выполнены следующие условия:

  • На машине, с которой планируется сбор событий, установлен агент R-Vision EVO Endpoint.

  • Агент находится в активном состоянии и успешно подключен к R-Vision SIEM.

  • Пользователь, выполняющий настройку, имеет права администратора локальной машины.

  • Система работает под управлением Microsoft Windows с установленным Microsoft Windows PowerShell.

Настройка Microsoft Windows PowerShell

Настройка журналирования Microsoft Windows PowerShell

В настоящем руководстве рассматривается передача событий с помощью продукта R-Vision Endpoint.

Настройте групповую политику (GPO):

  • Нажмите Win + R.

  • Введите команду:

    gpedit.msc

    1. Нажмите на кнопку OK.

    2. Перейдите в раздел Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Windows PowerShell.

    3. Найдите параметр Включить ведение журнала модулей.

    4. Откройте его и выберите Включено.

    5. В разделе Имена модулей нажмите на кнопку Показать и добавьте *, чтобы логировать все модули PowerShell.

    6. Нажмите на кнопку OK.

    7. Найдите параметр Включить регистрацию блоков сценариев PowerShell.

    8. Установите значение Включено.

    9. Нажмите на кнопку OK.

    10. После внесения изменений выполните команду:

      gpudate /force

Настройка отправки событий в R-Vision Endpoint

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.

  2. Создайте группу Windows PowerShell или добавьте следующую конфигурацию в существующую группу:

    • Тип журнала: eventfile.

    • Путь: C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx.

    • Фильтр (формат XPATH): *.

  3. Нажмите на кнопку Сохранить.

  4. Перейдите на вкладку Агенты.

  5. Нажмите на узел, на котором установлен агент.

  6. В открывшемся окне нажмите на кнопку more vertical и выберите пункт Добавить в группу.

  7. В появившемся окне найдите настроенную группу и нажмите на кнопку Добавить.

  8. Дождитесь применения политики группы на узле.

Сбор событий настроен.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Порт точки входа: введите значение в соответствии с настройками на стороне сервера.

    • Протокол: выберите вариант в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows PowerShell (идентификатор правила: RV-N-218).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft windows pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Windows PowerShell.

Найти события Microsoft Windows PowerShell в хранилище можно по следующему фильтру:

normalization_rule_name = "Microsoft Windows PowerShell"

microsoft windows events search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь