Microsoft WinRM: настройка источника

Использование WinRM для сбора событий с операционных систем позволяет осуществлять централизованный мониторинг и анализ событий безопасности Windows-хостов без необходимости установки дополнительных агентов на каждую целевую систему.

Предварительные требования

  1. Наличие учетной записи с правами локального администратора.

  2. Наличие возможности подключения по RDP или локального доступа к машине, на которой планируется осуществлять сбор событий.

  3. Наличие установленного на машине агента R-Vision EVO Endpoint.

Настройка Microsoft WinRM

Для настройки сбора и отправки событий Microsoft WinRM необходимо выполнить следующие шаги:

  1. Настройте групповую (локальную) политику для брандмауэра. Внесите изменения в групповую политику AD для разрешения соединений WinRM через брандмауэр. Для этого:

    1. Откройте консоль управления групповой политикой.

    2. На доменном контроллере запустите консоль управления групповой политикой, набрав команду gpedit.msc в окне Выполнить.

    3. Создайте новый объект групповой политики (GPO). Произведите модификацию параметров:

      • Перейдите в раздел Computer Configuration → Policies → Windows Settings → Security Settings → System Services.

      • Найдите службу Windows Remote Service (WS-Management) и настройте ее на автоматический запуск.

      • Перейдите в раздел Computer Policies → Preferences → Control Panel Settings → Services.

      • Выберите New → Service.

      • Укажите имя службы WinRM.

        microsoft winrm service configure

        Конечный вариант конфигурации службы WinRM в групповой политике приведен на скриншоте:

        microsoft winrm policy configure

      • На вкладке Recovery задайте действие Restart the Service.

        microsoft winrm configure recovery

      • Перейдите в раздел Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Remote Management (WinRM) → WinRM Service.

      • Включите параметр Allow remote server management through WinRM.

      • В полях IPv4 filter и IPv4 filter можно указать IP-адреса или подсети, на которых необходимо прослушивать удаленные подключения через WinRM.

      • Если вам необходимо принимать WinRM-подключения на всех IP-адресах, укажите в данных полях символ *.

        microsoft winrm params configure

  2. Откройте порты для WinRM на вашем Firewall. По умолчанию WinRM использует TCP-порты со значениями 5985 для HTTP и 5986 для HTTPS. Для этого:

    1. Убедитесь, что в групповой политике разрешены соединения через данные порты.

    2. Убедитесь что ваша сетевая инфраструктура не блокирует данные порты. Для этого:

      1. Откройте в Windows Defender Firewall правила, разрешающие подключаться к WinRM по стандартным портам со значениями 5985 и 5986.

      2. Перейдите в раздел Computer Configuration → Policies → Windows Settings → Security Settings → Windows Firewall with Advanced Security → Windows Firewall with Advanced Security → Inbound Rules.

      3. Выберите все правила вида predefined rule Windows Remote Management и включите их.

  3. Проверьте и отладьте настройки. После применения настроек убедитесь, что WinRM работает корректно. Для этого:

    1. Откройте PowerShell от имени администратора.

    2. Введите команду winrm e winrm/config/listener. Команда выведет текущие настройки WinRM-листенера. Обратите внимание на строку Listener [Source="GPO"]. Она означает, что настройки получены через групповые политики.

    3. Полную конфигурацию службы WinRM можно вывести с помощью команды winrm get winrm/config.

    4. Подключитесь удаленно к компьютеру через WinRM. Для этого:

      • Запустите консоль PowerShell с учетной записью с правами администратора.

      • Выполните команду:

        Test-WsMan <test_pc>

        где test_pc — FQDN или IP-адрес удаленной машины.

        • Если WinRM включен, появится следующий ответ:

          wsmid : http://schemas.dmtf.org/wbem/wsman/identity/1/wsmanidentity.xsd
ProtocolVersion : http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
ProductVendor : Microsoft Corporation
ProductVersion : OS: 0.0.0 SP: 0.0 Stack: 3.0

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Evo Endpoint.

    • Домен: введите значение в формате gw-<your_gateway_id>, где <your_gateway_id> — ID шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Microsoft WinRM (идентификатор правила: RV-N-71).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft winrm example conveer

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события WinRM.

Найти события WinRM в хранилище можно по следующему фильтру:

dproduct = "Windows Remote Management"

microsoft winrm storage

Конфигурация агента

  1. Установите агент на ваш WinRM сервер. Для этого обратитесь к инструкции по настройке агента R-Vision Evo.

  2. Найдите ваш агент в списке и создайте отдельную группу для сбора событий с него.

    microsoft winrm evo agent configure example

  3. В созданной политике установите сбор данных с журналов Microsoft-Windows-WinRM/Operational и Microsoft-Windows-WinRM/Analytics.

  4. Сохраните изменения.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь