Microsoft Windows Event Collector: настройка источника

Данное руководство описывает процесс настройки сбора событий Microsoft Windows Event Collector (WEC) и их отправки в R-Vision SIEM.

Предварительные требования

  • Обеспечена сетевая доступность в сети сбора логов.

  • Создан коллектор R-Vision SIEM, ресурсы распределены согласно планируемой нагрузке.

  • Установлен менеджер R-Point (для версий SIEM 1.10.2 и ниже).

  • Обеспечена возможность подключения с сервера R-Point на порт WEC-коллектора, указанный в конфигурации точки входа.

Настройка Microsoft Windows Event Collector

Подготовка инфраструктуры и домена

Для корректной работы Windows Event Collector необходимо настроить групповые политики и сетевой доступ:

  1. Откройте редактор групповых политик (gpedit.msc).

  2. Создайте новую политику и примените ее ко всем OU (Organizational Units), с которых планируется сбор событий. Для применения ко всем устройствам в домене разместите ее на уровне леса.

  3. Установите параметр Enforced для принудительного применения политики.

    wec enforce policy

  4. Настройте политику WinRM со следующими параметрами:

    • Настройте правила межсетевого экрана (Inbound rules).

    • Разрешите удаленное выполнение команд: включите параметры Allow Inbound remote administrator exception (путь: Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile) и Allow remote server management through WinRM (путь: Windows Components\Windows Remote Management (WinRM)\WinRM Service).

    • Включите службу WinRM со стандартными параметрами.

      wec allow inbound remote

      wec allowed remote management

      wec winrm policy configure

  5. Создайте служебную группу домена (например, SG_WEC_CONTROL) для учетных записей, используемых для сбора. Добавьте в нее необходимые учетные записи.

Настройка конечных машин

  1. Проверьте работу политики WinRM. В диспетчере служб (services.msc) убедитесь, что служба WinRM активна. При необходимости выполните принудительное обновление политик: gpupdate /force.

  2. Добавьте созданную ранее доменную группу (SG_WEC_CONTROL) в локальную группу Event Log Readers.

    wec group add event log readers

    Если служба ранее не использовалась, рекомендуется выполнить первичную инициализацию командой winrm quickconfig.

  3. При необходимости настройте права доступа к журналам. Для просмотра прав используйте команду wevtutil get-log <journal_name>, обращая внимание на поле channelAccess.

    wec request ca

  4. Для предоставления прав скопируйте значение channelAccess и примените его командой:

    wevtutil set-log security <Your CID>

    Пример команды для журнала Security по умолчанию:

    wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

Настройка подписки Windows Event Collector

  1. Подключитесь к серверу Windows Event Collector (коллектору событий Windows).

  2. Установите режим запуска службы Windows Event Collector в Delay-Start. Можно использовать команду:

    wecutil qc

  3. Ограничьте размер целевого журнала (например, Forwarded Events). Для этого откройте Event Viewer, перейдите в свойства журнала и задайте максимальный размер.

    wec control journal size

  4. В меню Event Viewer перейдите в раздел Subscriptions и создайте новую подписку.

  5. Настройте параметры подписки: добавьте машины домена, с которых необходимо собирать события.

    wec add computers

  6. Укажите пользователя, от имени которого будет происходить сбор (член группы SG_WEC_CONTROL и локальной группы Event Log Readers на конечных машинах).

  7. При необходимости измените протокол и порт.

    wec control subscription

  8. Выберите журнал для сохранения событий.

    wec subscription basic menu

  9. Убедитесь, что события поступают в журнал Forwarded Events.

    wec show forward events

Настройка агента R-Vision Endpoint

Для отправки собранных событий в SIEM необходимо настроить агент R-Vision Endpoint, установленный на сервере Windows Event Collector:

  1. В интерфейсе R-Vision Endpoint выберите группу агентов, в которую входит WEC-сервер.

  2. В секции Чтение файлов/выполнение команд нажмите кнопку Добавить (plus).

  3. Заполните параметры сбора:

    • Тип журнала: выберите eventchannel.

    • Путь: введите Forwarded Events.

  4. Нажмите на кнопку Сохранить и применить.

Настройка на стороне источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Порт точки входа: введите значение в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .dvendor = "R-Vision"
.dproduct = "Endpoint"

  4. Соедините VRL-трансформацию с точкой входа.

  5. Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows (идентификаторы правил: RV-N-148RV-N-156, RV-N-72, RV-N-73, RV-N-74 и другие, в зависимости от требований).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

microsoft wec pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Windows Event Collector.

Найти события в хранилище можно по следующему фильтру:

dvendor = "Microsoft" AND dvchost = "<your_wec_hostname>"

microsoft wec storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь