Microsoft System Center Configuration Manager (SCCM): настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий System Center Configuration Manager в R-Vision SIEM.

Предварительные требования

Сетевая доступность сервера СУБД System Center Configuration Manager по целевому порту и протоколу для каждой ноды кластера SIEM.

Настройка System Center Configuration Manager

Описание подсистемы журналирования

Журналирование событий источника можно условно поделить на два типа:

  1. События, которые записываются в текстовые файлы в файловой системе (файловые журналы):

    • события журналов сервера SCCM — записываются в C:\Program Files\Microsoft Configuration Manager\Logs;

    • события журналов точки управления SCCM — записываются в C:\Program Files\SMS_CCM\Logs;

    • события журналов клиента SCCM — записываются в C:\Windows\CCM\Logs.

      События данных сервисов собираются в R-Vision SIEM путем установки агента R-Vision Endpoint и настройки политики.

  2. События уведомлений SCCM — отображаются в консоли Configuration Manager и записываются в таблицу Alert СУБД Microsoft SQL Server.

    События-уведомления, хранящиеся в СУБД Microsoft SQL Server, собираются в R-Vision SIEM путем обращения к базе данных от имени специально подготовленной сервисной учетной записи.

Настройка подсистемы журналирования

Дополнительных действий по настройке журналирования на стороне источника совершать не требуется.

Настройка отправки событий в SIEM

Для пересылки событий журналов и уведомлений выполните следующие шаги:

  1. Создайте отдельную сервисную учетную запись в СУБД Microsoft SQL Server и предоставьте ей права на чтение базы данных с журналом:

    • В SQL Server Management Studio (SSMS) подключитесь к экземпляру СУБД.

    • В разделе Security нажмите правой кнопкой мыши на пункт Logins и выберите опцию New Login…​.

    • В разделе General укажите параметры пользователя в соответствии со скриншотом:

      microsoft sccm general

    • В разделе User Mapping выберите базу данных с журналом и установите флажок для роли db_datareader.

      microsoft sccm user mapping

  2. Установите агент R-Vision Endpoint и укажите адрес менеджера Endpoint на всех серверах, на которых установлены компоненты Configuration Manager.

  3. Настройте политику сбора в менеджере R-Vision Endpoint:

    • В веб-интерфейсе менеджера создайте группу SCCM.

    • Добавьте в группу все узлы, на которых установлены компоненты продукта Configuration Manager.

    • В разделах Чтение файлов / выполнение команд (Linux / Windows / macOS) и Технический аудит удалите все правила политики, добавленные по умолчанию.

    • В разделе Чтение файлов / выполнение команд (Linux / Windows / macOS) настройте чтение из файлов журналов следующим образом:

      microsoft sccm agent

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Настройки → Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:sqlserver://10.150.15.22\MSSQLSERVER1:1433;encrypt=false;databaseName=SCCM_PS1;user=srv_sccm;password=P@ssw0rd

        Здесь:

        • 10.150.15.22 — адрес сервера базы данных;

        • MSSQLSERVER1 — название инстанса СУБД;

        • 1433 — порт;

        • SCCM_PS1 — название базы данных, которое указывается в процессе установки SCCM.

          microsoft sccm secret connection string

    4. Нажмите на кнопку Создать.

  2. Создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант MS SQL.

    • Адрес подключения: выберите созданный ранее секрет.

    • SQL запрос: введите запрос для получения уведомлений.

      SELECT 'SCCM Alerts' AS appname, ac.Name AS className, al.AlertID AS alertId, al.TypeID, al.Name AS alertName, al.Severity, al.CreatedBy, al.CreationTime, al.ModifiedBy, al.ClosedBy FROM SCCM_PS1.dbo.Alert al JOIN SCCM_PS1.dbo.AlertClass ac ON ac.TypeID = al.TypeID WHERE alertId > ?;

    • Поле идентификатора: введите ключ alertId со значением 1.

    • Интервал запроса (сек): введите значение 15.

  4. Добавьте на конвейер элемент Нормализатор с правилом Microsoft SCCM (идентификатор правила: RV-N-65).

  5. Для обработки событий из файловых журналов в нормализаторе общего конвейера для агентов R-Vision Endpoint добавьте правила Microsoft SCCM со следующими идентификаторами:

    • RV-N-66;

    • RV-N-67.

  6. Соедините нормализатор с точкой входа.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft sccm pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события System Center Configuration Manager.

Найти события System Center Configuration Manager в хранилище можно по следующему фильтру:

dproduct = "SCCM Alerts"

microsoft sccm storage filter

Перечень событий

С полным перечнем событий можно ознакомиться в официальной документации Microsoft.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь