Microsoft Windows Terminal Services: настройка источника

Данное руководство описывает процесс отправки событий из журналов Windows Terminal Services в R-Vision SIEM с помощью продукта R-Vision EVO.

Настройка Microsoft Windows Terminal Services

Настройка журналирования не требуется. События источника сохраняются в журнале Windows.

Установка и подключение агента R-Vision EVO

Установите агент R-Vision EVO на целевой хост, следуя официальной инструкции.

После установки настройте подключение агента к менеджеру агентов R-Vision SIEM в соответствии с инструкцией.

Настройка политики сбора событий в R-Vision SIEM

Для сбора событий журналов Microsoft Windows Terminal Services создайте политику сбора и добавьте в нее требуемый узел. Информацию о работе с группами агентов можно найти в инструкции по настройке групп.

Чтобы настроить сбор событий из журналов Terminal Services, выполните следующие шаги:

  1. Перейдите к настройке нужной группы агентов.

  2. Убедитесь, что переключатель Чтение файлов установлен в активное положение.

  3. Добавьте новый элемент:

    • Тип журналов: eventchannel.

    • Имя журналов: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational, Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin, Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.

    • Фильтр (формат XPath):

      • для сбора всех событий укажите символ *;

      • для сбора конкретных событий задайте XPath-фильтр.

        Информацию о формировании корректных XPath-фильтров можно найти в документации по синтаксису XPath.

        Пример конфигурации:

        microsoft evo windows terminal services

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Домен: введите значение gw-<your_gateway_id>, где <your_gateway_id> — ID вашего шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows TS RCM LSM (идентификатор правила: RV-N-310).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft windows pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Windows Terminal Services.

Найти события Microsoft Windows Terminal Services в хранилище можно по следующему фильтру:

normalization_rule_name = "Microsoft Windows TS RCM LSM"

microsoft windows terminal services events search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь