Microsoft Exchange Server: настройка источника

Данное руководство описывает процесс настройки сбора событий Microsoft Exchange Server и их отправки в R-Vision SIEM.

Настройка Microsoft Exchange Server

Настройка журналирования

В настоящем руководстве рассматривается передача событий с помощью агента платформы R-Vision EVO. Для пересылки событий в R-Vision SIEM установите на узле агент R-Vision EVO.

В рамках событий будет осуществлена настройка для следующих журналов:

Журнал MSExchange Management;
Журнал Message Tracking;
Журнал IMAP4;
Журнал POP3.

Журнал MSExchange Management

Журнал Microsoft-Windows-DNSServer/Audit включен по умолчанию. Однако аудит ввода команд необходимо включить отдельно. Для этого:

Откройте Exchange Management Shell.

Введите команду:

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

Если будет выведено значение False, введите команду:
```
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
```

После этого команды, вводимые в Exchange Management Shell, будут записываться в событиях журнала MSExchange Management.

Журнал Message Tracking

Журнал Message Tracking включен по умолчанию. Дополнительная настройка не требуется.

Данный журнал регистрирует события обработки писем на стороне сервера.

Сбор событий данного журнала будет производиться посредством обращения к файлам событий по протоколу SMB. Для этого необходимо настроить доступ для папки хранения логов:

Перейдите в каталог хранения журналов Exchange: C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs.
В контекстном меню каталога MessageTracking выберите вариант Properties.
Откройте вкладку Sharing и нажмите на кнопку Advanced Sharing….
В открывшемся окне установите флажок Share this folder и нажмите на кнопку Permissions.
В окне настройки прав добавьте УЗ, от имени которой планируется читать файлы событий через SMB, и добавьте права на чтение.
Нажмите на кнопку OK.
Нажмите на кнопку Done.

Настройка для журнала Message Tracking завершена.

Журналы IMAP4 и POP3

Данные журналы хранят события взаимодействия с почтовыми клиентами сервера Exchange. Для настройки записи событий в данные журналы выполните следующие шаги:

Откройте Exchange Management Shell.
Включите аудит IMAP4 командой:
```
Set-ImapSettings -ProtocolLogEnabled $true
```
Включите аудит POP3 командой:
```
Set-PopSettings -ProtocolLogEnabled $true
```
Настройте права доступа для каталогов хранения логов по аналогии с настройкой для журнала Message Tracking. Данные каталоги расположены по следующим путям:
- IMAP4: C:\Program Files\Microsoft\Exchange Server\V15\Logging\Imap4.
- POP3: C:\Program Files\Microsoft\Exchange Server\V15\Logging\Pop3.

Настройка для журналов IMAP4 и POP3 завершена.

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

Для отправки событий источника в R-Vision SIEM выполните следующие шаги:

В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.
Создайте группу и добавьте в нее узел, на котором установлен агент.
В созданной группе узлов в секции Чтение файлов нажмите на кнопку Добавить настройку ().
В выпадающем списке Тип журнала выберите вариант eventfile.
В поле Путь введите значение C:\Windows\System32\winevt\Logs\MSExchange Management.evtx.
Если необходимо выбирать события по определенным критериям, введите в поле Фильтр (формат XPATH) выражение XPath. Если фильтр не нужен, введите символ *.
Нажмите на кнопку Сохранить и применить.
Дождитесь применения политики группы на узле. Сбор событий настроен.

Настройка обработки событий в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант R-Vision Endpoint.
- Домен: введите значение в формате gw-<your_gateway_id>, где <your_gateway_id> — ID шлюза.
Добавьте на конвейер элемент Точка входа для сбора событий журнала Tracking Message со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант SMB.
- Путь к ресурсу: введите значение в формате \\<server_name>\MessageTracking, где <server_name> — FQDN сервера Exchange.
- Тип аутентификации (опционально): выберите тип, настроенный в вашем домене
- Учетные данные: выберите секрет с учетной записью, которая имеет права на чтение каталога через SMB.
- Версия SMB: выберите вариант SMB3.
- Маска файла: введите значение *.LOG.
- Интервал запроса, секунд: введите значение 15.
- Таймаут запроса, секунд: введите значение 5.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.device_product = "exchange"
.device_event_category = "email_transport"
```
Соедините VRL-трансформацию с точкой входа, настроенной для журнала Tracking Message.
Добавьте на конвейер элемент Точка входа для сбора событий журнала IMAP4 со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант SMB.
- Путь к ресурсу: введите значение в формате \\<server_name>\Imap4, где <server_name> — FQDN сервера Exchange.
- Тип аутентификации: выберите тип, настроенный в вашем домене.
- Учетные данные: выберите секрет с учетной записью, которая имеет права на чтение каталога через SMB.
- Версия SMB: выберите вариант SMB3.
- Маска файла: введите значение *.LOG.
- Интервал запроса, секунд: введите значение 15.
- Таймаут запроса, секунд: введите значение 5.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.device_product = "exchange"
.device_event_category = "imap"
```
Соедините VRL-трансформацию с точкой входа, настроенной для журнала IMAP4.
Добавьте на конвейер элемент Точка входа для сбора событий журнала POP3 со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант SMB.
- Путь к ресурсу: введите значение в формате \\<server_name>\Pop3, где <server_name> — FQDN сервера Exchange.
- Тип аутентификации: выберите тип, настроенный в вашем домене.
- Учетные данные: выберите секрет с учетной записью, которая имеет права на чтение каталога через SMB.
- Версия SMB: выберите вариант SMB3.
- Маска файла: введите значение *.LOG.
- Интервал запроса, секунд: введите значение 15.
- Таймаут запроса, секунд: введите значение 5.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.device_product = "exchange"
.device_event_category = "pop"
```
Соедините VRL-трансформацию с точкой входа, настроенной для журнала POP3.
Добавьте на конвейер элемент Нормализатор с правилами:
- Microsoft Exchange Management (идентификатор правила: RV-N-263);
- Microsoft Exchange Server (идентификатор правила: RV-N-264);
- Microsoft Exchange Server IMAP/POP (идентификатор правила: RV-N-347).
Соедините нормализатор с точкой входа типа R-Vision Endpoint и созданными VRL-трансформациями.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft exchange pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Exchange Server.

Найти события Microsoft Exchange Server в хранилище можно по следующему фильтру:

device_product = "exchange"

Была ли полезна эта страница?