Microsoft Hyper-V: настройка источника

Данное руководство описывает процесс отправки событий из журналов Hyper-V в R-Vision SIEM с помощью продукта R-Vision EVO Endpoint.

Предварительные требования

  • На машине, с которой планируется сбор событий, установлен агент R-Vision EVO Endpoint.

  • Агент находится в активном состоянии и успешно подключён к R-Vision SIEM.

  • Пользователь, выполняющий настройку, имеет права администратора локальной машины.

  • Система работает под управлением Microsoft Windows с установленным Microsoft Windows Hyper-V.

Настройка сбора событий Microsoft Hyper-V

Настройка политики сбора событий

Для настройки сбора событий журналов Hyper-V выполните следующие действия:

  1. В главном меню интерфейса R-Vision SIEM перейдите в раздел Агенты → Группы агентов.

  2. Нажмите на кнопку Создать (plus).

  3. В раскрывшемся окне введите название группы.

  4. В настройках группы переведите переключатель Чтение файлов в активное положение.

  5. В разделе Чтение файлов нажмите на кнопку Добавить (plus) и добавьте следующие журналы (тип eventchannel):

    • Microsoft-Windows-Hyper-V-VMMS-Admin

    • Microsoft-Windows-Hyper-V-VMMS-Networking

    • Microsoft-Windows-Hyper-V-VMMS-Operational

    • Microsoft-Windows-Hyper-V-VmSwitch-Operational

    • Microsoft-Windows-Hyper-V-Worker-Admin

  6. Нажмите на кнопку Сохранить.

    microsoft windows hyper v journals

  7. Добавьте нужные узлы в созданную группу:

    1. Перейдите в список агентов.

    2. Выберите нужный узел и нажмите на кнопку more vertical.

    3. Выберите созданную группу и нажмите Добавить.

  8. Дождитесь применения политики на агенте.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision EVO Endpoint.

    • Домен: введите значение в соответствии с настройками на стороне шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows Hyper-V (идентификатор правила: RV-N-228).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft windows hyper v pipeline

После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста из журналов Windows Hyper-V.

Найти события Windows Hyper-V в хранилище можно по следующему фильтру:

device_product = "hyper-v"

microsoft hyper v storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь