Microsoft Windows PowerShell: настройка источника

Данное руководство описывает процесс настройки сбора событий Microsoft Windows PowerShell и их отправки в R-Vision SIEM.

Предварительные требования

Перед началом настройки убедитесь, что выполнены следующие условия:

На машине, с которой планируется сбор событий, установлен агент R-Vision EVO Endpoint.
Агент находится в активном состоянии и успешно подключён к R-Vision SIEM.
Пользователь, выполняющий настройку, имеет права администратора локальной машины.
Система работает под управлением Microsoft Windows с установленным Microsoft Windows PowerShell.

В настоящем руководстве рассматривается передача событий с помощью продукта R-Vision Endpoint.

Настройте групповую политику (GPO):

Нажмите Win + R.
Введите команду:
```
gpedit.msc
```
Нажмите OK.
Перейдите в раздел Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Windows PowerShell.
Найдите параметр Включить ведение журнала модулей.
Откройте его и выберите Включено.
В разделе Имена модулей нажмите Показать и добавьте *, чтобы логировать все модули PowerShell.
Нажмите OK.
Найдите параметр Включить регистрацию блоков сценариев PowerShell.
Установите значение Включено.
Нажмите OK.
После внесения изменений выполните команду:
```
gpudate /force
```

В веб-интерфейсе R-Vision SIEM перейдите во вкладку Агенты → Группы агентов и создайте группу Windows PowerShell или добавьте следующую конфигурацию в существующую группу:
- Тип журнала - eventfile
- Путь - C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx
- Фильтр (формат XPATH) - *
Нажмите Сохранить.
Перейдите во вкладку Агенты.
Нажмите на узел, на котором установлен агент.
В открывшемся окне нажмите на значок и выберите пункт Добавить в группу.
В появившемся окне найдите настроенную группу и нажмите Добавить.
Дождитесь применения политики группы на узле. Сбор событий настроен.

В интерфейсе R-Vision SIEM создайте новый конвейер или выберите существующий в коллекторе.
В случае создания нового конвейера, добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант R-Vision Endpoint.
- Порт точки входа: введите значение в соответствии с настройками на стороне сервера.
Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows PowerShell (идентификатор правила: RV-N-74) или добавьте правило в существующий нормализатор.
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft iis pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Windows PowerShell.

Найти события Microsoft Windows PowerShell в хранилище можно по следующему фильтру:

dproduct = "Microsoft-Windows-Powershell"

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?