Microsoft ADDS: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Microsoft ADDS (Active Directory Domain Services) в R-Vision SIEM.

Предварительные требования

Перед началом настройки убедитесь, что выполнены следующие условия:

  • На машине, с которой планируется сбор событий, установлен агент R-Vision EVO Endpoint.

  • Агент находится в активном состоянии и успешно подключен к R-Vision SIEM.

  • Пользователь, выполняющий настройку, имеет права администратора.

Настройка Microsoft ADDS

В настоящем руководстве рассматривается передача событий с помощью продукта R-Vision EVO Endpoint.

Настройка журналирования Microsoft ADDS

Чтобы настроить журналирование, включите логирование событий Microsoft через редактирование реестра, для этого:

  1. Используйте комбинацию клавиш Win + R.

  2. В открывшемся окне введите команду regedit и нажмите на кнопку OK.

  3. В дереве навигации перейдите по пути Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.

  4. Укажите следующие значения для полей 15 Field Enginering, 15 LDAP Interface Events, 16 LDAP Interface Events, 8 Directory Access:

    • Value Data: 5.

    • Base: Hexadecimal.

    microsoft adds catalog tree

    microsoft adds edit dword

Посмотреть логируемые события можно в Event Viewer\Windows Logs\Applications and Services Logs\Directory Service.

Настройка отправки событий в R-Vision Endpoint

  1. В веб-интерфейсе R-Vision SIEM перейдите на вкладку Агенты → Группы агентов и создайте группу Microsoft ADDS или добавьте следующую конфигурацию в существующую группу:

    1. Тип журнала: eventfile.

    2. Путь: C:\WINDOWS\System2\winevt\Logs\Directory Service.evtx.

    3. Фильтр (формат XPATH): *.

  2. Нажмите на кнопку Сохранить.

  3. Перейдите на вкладку Агенты.

  4. Нажмите на узел, на котором установлен агент.

  5. В открывшемся окне нажмите на значок microsoft windows powershell icon и выберите пункт Добавить в группу.

  6. В появившемся окне найдите настроенную группу и нажмите на кнопку Добавить.

  7. Дождитесь применения политики группы на узле.

Сбор событий настроен.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Порт точки входа: введите значение в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft AD Directory Services (идентификатор правила: RV-N-147).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft adds pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft ADDS.

Найти события Microsoft ADDS в хранилище можно по следующему фильтру:

dproduct = "Active Directory Domain Services"

microsoft adds events storage filter

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь