Microsoft Windows Security: настройка источника

Данное руководство описывает процесс отправки событий из журнала Windows Security в R-Vision SIEM с помощью продукта R-Vision EVO.

Настройка Microsoft Windows Security

В данном разделе описана настройка сбора событий журнала Windows Security с помощью агента R-Vision EVO. Процесс включает следующие этапы:

  1. Настройка сбора событий Microsoft Windows Security

  2. Установка и подключение агента R-Vision EVO

  3. Настройка политики сбора событий в R-Vision SIEM

Настройка сбора событий Microsoft Windows Security

Чтобы события появлялись в журнале Security, необходимо включить аудит в настройках Windows. Политику можно применить:

  • через GPO (рекомендуется для домена);

  • локально для отдельных хостов (не рекомендуется для масштабного использования).

Настройка через доменные политики

Предварительные требования

  • Ваша Windows-машина должна быть включена в домен.

  • Ваша учетная запись должна обладать правами администратора домена (Domain Admin).

  • Должны быть включены параметры аудита.

Настройка сбора событий Microsoft Windows

Чтобы настроить сбор событий Microsoft Windows, выполните следующие шаги:

  1. Откройте консоль Group Policy Management.

  2. Создайте новую GPO или отредактируйте существующую.

  3. Перейдите в раздел Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration.

  4. Включите необходимые параметры аудита.

  5. Привяжите политику к нужному OU (Organizational Unit).

  6. Дождитесь применения политики на хостах или выполните команду gpupdate /force.

Настройка через локальные политики

Предварительные требования

  • Ваша учетная запись должна обладать правами локального администратора.

  • Должны быть включены параметры аудита, необходимые для сбора событий.

Настройка сбора событий Microsoft Windows

Чтобы настроить сбор событий Microsoft Windows, выполните следующие шаги:

  1. Откройте консоль Local Security Policy, используя команду secpol.msc.

  2. Перейдите в раздел Local Policies → Audit Policy или Advanced Audit Policy Configuration.

  3. Включите необходимые параметры аудита (успех / отказ).

  4. Примените изменения.

  5. Обновите политики командой gpupdate /force или перезагрузите хост.

Настройка параметров аудита

В групповой политике устройства включите следующие параметры.

  1. Аудит событий:

    • Аудит входа в систему: успех, отказ.

    • Аудит доступа к объектам: успех.

    • Аудит доступа к службам каталогов: успех.

    • Аудит изменения политики: успех.

    • Аудит использования привилегий: успех.

    • Аудит отслеживания процессов: успех.

    • Аудит системных событий: успех.

    • Аудит событий входа в систему: успех, отказ.

    • Аудит управления учетными записями: успех, отказ.

  2. Расширенный аудит событий:

    • Проверка учетных данных аудита: успех, отказ.

    • Аудит управления учетными записями компьютера: успех, отказ.

    • Аудит управления группами безопасности: успех, отказ.

    • Аудит управления учетными записями пользователей: успех, отказ.

    • Аудит изменений службы каталогов: успех, отказ.

    • Расширение системы безопасности аудита: успех, отказ.

    • Аудит доступа к службе каталогов: успех, отказ.

      Для корректного сбора событий Аудит доступа к службе каталогов требуется дополнительная настройка прав доступа к объектам Active Directory. Настройте права согласно официальной инструкции Microsoft.

      Пример включения одного из параметров аудита:

      microsoft evo windows security audit domain

Установка и подключение агента R-Vision EVO

Установите агент R-Vision EVO на целевой хост, следуя официальной инструкции.

После установки настройте подключение агента к менеджеру агентов R-Vision SIEM в соответствии с инструкцией.

Настройка политики сбора событий в R-Vision SIEM

Для сбора событий журнала Microsoft Windows Security создайте политику сбора и добавьте в нее требуемый узел. Информацию о работе с группами агентов можно найти в инструкции по настройке групп.

Чтобы настроить сбор событий из журнала Security, выполните следующие шаги:

  1. Перейдите к настройке нужной группы агентов.

  2. Убедитесь, что переключатель Чтение файлов установлен в активное положение.

  3. Добавьте новый элемент:

    • Тип журнала: eventchannel.

    • Имя журнала: Security.

    • Фильтр (формат XPath):

      • для сбора всех событий укажите символ *;

      • для сбора конкретных событий задайте XPath-фильтр.

        Информацию о формировании корректных XPath-фильтров можно найти в документации по синтаксису XPath.

        Пример конфигурации:

        microsoft evo windows security

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Домен: введите значение gw-<your_gateway_id>, где <your_gateway_id> — ID вашего шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом для нормализации событий журнала Microsoft Windows Security (идентификатор правила: RV-N-222).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft windows pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Microsoft Windows Security.

Найти события Microsoft Windows Security в хранилище можно по следующему фильтру:

normalization_rule_name = "Microsoft Windows Security"

microsoft windows security events search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь