Microsoft ADWS
Данное руководство содержит инструкции по настройке подключения к системе R-Vision SIEM источника событий ADWS (Active Directory Web Services).
Подготовка инфраструктуры
| Microsoft ADWS устанавливается по умолчанию при установке роли ADDS (Active Directory Domain Services). Дополнительная настройка службы не требуется. |
Установите агент R-Vision EVO на узле, работу которого требуется контролировать.
Настройка в R-Vision SIEM
Настройка отправки событий в R-Vision SIEM
-
В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.
-
Создайте группу и добавьте в нее узел, на котором установлен агент.
-
В созданной группе узлов в секции Чтение файлов нажмите на кнопку Добавить настройку (
). -
В выпадающем списке Тип журнала выберите вариант eventchannel.
-
В поле Имя журнала введите значение
ADWS. -
Если необходимо выбирать события по определенным критериям, введите в поле Фильтр (формат XPATH) выражение XPath. Если фильтр не нужен, введите символ
*. -
Нажмите на кнопку Сохранить и применить.
-
Дождитесь применения политики группы на узле. Сбор событий настроен.
Настройка обработки событий в R-Vision SIEM
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант R-Vision EVO Endpoint.
-
Домен: введите значение в формате
gw-<your_gateway_id>, где<your_gateway_id>— ID шлюза.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Microsoft Active Directory Web Services (идентификатор правила: RV-N-58).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка выполнена корректно, в хранилище начнут поступать события журнала ADWS.
|
Найти события ADWS в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
