Microsoft Windows Remote Management (WinRM): настройка источника

Данное руководство описывает процесс сбора и отправки событий из журнала Microsoft Windows Remote Management (WinRM) в R-Vision SIEM с помощью агента платформы R-Vision EVO.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между хостом WinRM и R-Vision SIEM обеспечена, а необходимые порты открыты.

Настройка Windows Remote Management

Конфигурация системы

  1. Настройте групповую политику для брандмауэра: внесите изменения в групповую политику AD для разрешения соединений WinRM через брандмауэр. Для этого на компьютере с административными правами запустите консоль управления групповой политикой, набрав команду gpedit.msc в окне Выполнить.

  2. Создайте новый объект групповой политики (GPO) или отредактируйте существующий: перейдите в раздел Computer Configuration → Policies → Windows Settings → Security Settings → System Services.

  3. Найдите службу Windows Remote Service (WS-Management) и настройте ее на автоматический запуск.

  4. Перейдите в раздел Computer Policies → Preferences → Control Panel Settings → Services и выберите New → Service.

  5. Укажите имя службы WinRM и на вкладке Recovery задайте действие Restart the Service.

  6. Перейдите в раздел Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Remote Management (WinRM) → WinRM Service.

  7. Включите параметр Allow remote server management through WinRM.

  8. В поле Фильтр IPv4/IPv6 можно указать IP-адреса или подсети, на которых нужно слушать удаленные подключения через WinRM. Если вам необходимо принимать WinRM подключения на всех IP-адресах, оставьте здесь значение *.

  9. Откройте порты для WinRM на вашем брандмауэре: по умолчанию WinRM использует TCP-порты 5985 (для HTTP) и 5986 (для HTTPS). Убедитесь, что в групповой политике разрешены соединения по этим портам и ваша сетевая инфраструктура не блокирует данные порты. Для этого откройте в Windows Defender Firewall правила, разрешающие подключаться к WinRM по стандартным портам 5985 и 5986. Перейдите в раздел Computer Configuration → Policies → Windows Settings → Security Settings → Windows Firewall with Advanced Security → Inbound Rules.

  10. Выберите все правила вида predefined rule Windows Remote Management и включите их.

  11. Проверьте и отладьте настройки: после применения настроек убедитесь, что WinRM работает корректно. Для этого откройте PowerShell от имени администратора и выполните следующие действия:

    1. Введите команду:

      winrm e winrm/config/listener

      Команда выведет текущие настройки WinRM-листенера. Обратите внимание на строку Listener [Source="GPO"]. Она означает, что настройки получены через групповые политики.

    2. Полную конфигурацию службы WinRM можно вывести с помощью команды:

      winrm get winrm/config

    3. Проверьте удаленное подключение к компьютеру через WinRM. Для этого запустите на удаленном компьютере консоль PowerShell под учетной записью с правами администратора на обоих компьютерах и выполните команду:

      Test-WsMan TestPC

      Если служба WinRM работает корректно, отобразится следующий ответ:

      wsmid : http://schemas.dmtf.org/wbem/wsman/identity/1/wsmanidentity.xsd
ProtocolVersion : http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
ProductVendor : Microsoft Corporation
ProductVersion : OS: 0.0.0 SP: 0.0 Stack: 3.0

Настройка политики сбора событий в R-Vision SIEM

Чтобы настроить сбор событий из журнала Microsoft-Windows-Windows Remote Management/Operational, выполните следующие шаги:

  1. В интерфейсе системы перейдите к настройке необходимой группы агентов.

  2. Установите переключатель Чтение файлов в активное положение.

  3. Добавьте новый элемент со следующими параметрами:

    • Тип журналов: введите значение eventchannel.

    • Имя журналов: введите значение Microsoft-Windows-Windows Remote Management/Operational.

    • Фильтр (формат XPath): введите значение *.

  4. Сохраните изменения.

    Пример конфигурации:

    microsoft windows remote manager group

  5. Добавьте машины в созданную группу.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий Windows Remote Management из журнала Microsoft-Windows-Windows Remote Management/Operational в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Домен: введите значение gw-<your_gateway_id>, где <your_gateway_id> — ID вашего шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft WinRM (идентификатор правила: RV-N-354).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft windows remote manager pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события WinRM.

Найти события WinRM в хранилище можно по следующему фильтру:

device_product = "winrm"

microsoft windows remote manager search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь