Microsoft WMI: настройка источника

Данное руководство описывает процесс настройки Microsoft Windows Management Instrumentation (WMI) для обеспечения возможности удаленного мониторинга и управления сервером с последующим считыванием событий в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что выполняются следующие условия:

  • Для работы требуются права администратора: у вас должна быть учетная запись с правами администратора домена или администратора групповой политики.

  • Создана доменная сервисная учетная запись (например, DOMAIN\srv-wmi), под которой коллектор R-Vision SIEM будет подключаться к хостам (она должна быть обычным пользователем и не входить в группу администраторов домена).

  • На целевых хостах установлена ОС Windows 8 или новее для корректной работы командлетов Get-CimInstance в стартовом скрипте.

  • Между коллектором и целевыми хостами отсутствуют межсетевые экраны, блокирующие динамические порты RPC (TCP/135, TCP/445 и диапазон TCP/49152TCP/65535).

  • В домене развернута и корректно работает служба DNS (запросы к WMI должны без ошибок разрешаться как по полному доменному имени (FQDN), так и по IP-адресу).

Настройка Microsoft WMI

Настройка разрешений WMI

  1. Нажмите на клавиши WIN+R, введите wmimgmt.msc и нажмите на клавишу ENTER.

  2. Нажмите правой кнопкой мыши на элемент WMI Control (Local) и выберите пункт Properties.

  3. Перейдите на вкладку Security.

  4. Разверните дерево Root, выберите пространство имен (обычно CIMV2) и нажмите на кнопку Security.

  5. Добавьте нужного пользователя и установите для него следующие разрешения:

    • Execute Methods;

    • Enable Account;

    • Remote Enable.

  6. Нажмите на кнопку Advanced.

  7. Выберите пользователя и нажмите на кнопку Edit. Убедитесь, что в выпадающем списке Applies to выбрано значение This namespace and subnamespaces.

Настройка DCOM

Windows Management Instrumentation использует DCOM для удаленных вызовов, поэтому необходимо разрешить доступ пользователю. Для этого выполните следующие шаги:

  1. Нажмите на клавиши WIN+R, введите dcomcnfg и нажмите на клавишу ENTER.

  2. Перейдите по пути Component Services → Computers → My Computer.

  3. Нажмите правой кнопкой мыши на элемент My Computer и выберите пункт Properties.

  4. Перейдите на вкладку COM Security и в разделах Access Permissions и Launch and Activation Permissions нажмите на кнопку Edit Limits.

  5. Добавьте пользователя и установите для него следующие разрешения:

    • Local Access / Remote Access;

    • Local Launch / Remote Launch;

    • Local Activation / Remote Activation.

  6. Перейдите на вкладку MSDTC и установите флажок Use Local Coordinator.

  7. Перейдите на вкладку Default Properties и установите следующие параметры:

    • установите флажок Enable Distributed COM;

    • установите флажок Enable COM Internet Services;

    • в выпадающем списке Default Authenticated level выберите пункт Connect;

    • в выпадающем списке Default Impersonal level выберите пункт Identify.

  8. Закройте окно свойств.

  9. Перейдите по пути Component Services → Computers → My Computer → DCOM Config → Windows Management Instrumentation.

  10. Перейдите на вкладку Location и установите флажок Run application on this computer.

  11. Перейдите на вкладку Security, добавьте пользователя и установите для него и группы Authenticated users следующие разрешения:

    • Full control;

    • Read;

    • Local Launch / Remote Launch;

    • Local Activation / Remote Activation.

  12. Перейдите на вкладку Identify и установите переключатель в положение The system account (services only).

Настройка брандмауэра Windows

Для работы WMI необходимо открыть соответствующие порты. Для этого выполните следующие команды в PowerShell от имени администратора:

# Разрешение правил для WMI
Enable-NetFirewallRule -DisplayGroup "Windows Management Instrumentation (WMI)"

# Разрешение правил для DCOM (RPC)
Enable-NetFirewallRule -DisplayGroup "Remote Administration"
Если вы используете сторонний межсетевой экран, откройте порт TCP/135 (RPC Endpoint Mapper) и динамический диапазон портов RPC (обычно TCP/49152TCP/65535).

Проверка подключения

Проверить работоспособность настроек можно с удаленной машины через PowerShell:

$options = New-CimSessionOption -Protocol Dcom
$session = New-CimSession -ComputerName "IP_АДРЕС_СЕРВЕРА" -Credential (Get-Credential) -SessionOption $options
Get-CimInstance -CimSession $session -ClassName Win32_OperatingSystem

Использование протокола DCOM считается менее безопасным, чем современный WinRM (Windows Remote Management). Если инфраструктура позволяет, рекомендуется использовать Get-CimInstance через WinRM (порты 5985 / 5986).

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Учетные данные.

      • Имя пользователя: введите логин используемой учетной записи.

      • Пароль: укажите пароль для выбранной учетной записи.

        microsoft wmi secret

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант WMI.

    • Адрес подключения: введите IP-адрес или полное доменное имя (FQDN) вашей машины.

    • Учетные данные: выберите секрет, созданный ранее.

    • Журнал: выберите требуемый журнал.

      В настоящее время поддерживается сбор информации только с фиксированного списка журналов. Если необходимого вам журнала нет в списке, попробуйте использовать другой тип сбора. С полным списком поддерживаемых журналов можно ознакомиться в официальной документации R-Vision SIEM (где <your-siem-hostname> — полное доменное имя вашего сервера SIEM).

  4. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .device_product = "WMI"

  5. Соедините точку входа с VRL-трансформацией.

  6. Добавьте на конвейер элемент Нормализатор с правилом Microsoft WMI (идентификатор правила: RV-N-323).

  7. Соедините нормализатор с VRL-трансформацией.

  8. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  9. Соедините конечную точку с нормализатором.

  10. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft wmi collector show

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft WMI.

Найти события Microsoft WMI в хранилище можно по следующему фильтру:

normalization_rule_name = "Microsoft WMI"

microsoft wmi events search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь