Часть 2. Управление средствами мониторинга Windows
2.1 Откроем настройки в папке share
2.2 Security -> Advanced
2.3 Во вкладке Аудит нажмём Add, чтобы добавить правило аудита
2.4 Select Principal
2.5 Отметим группу Domain Users
2.6 type=all, show advanced permissions
2.7 Отмечаем галочкой оба пункта Delete и нажмём ОК
2.8 Правило создано для папки share, а так же всех её вложенных папок и файлов. Теперь в журнале безопасности будут отображаться действия выполняемые внутри папки share
Часть 3. Инфраструктура отправки журналов Windows в SIEM
3.1 Включаем сервис сборщиков и подтверждаем его автостарт
3.2 Настраиваем политику отправки журналов на logcollector. Заходим в редактор групповой политики и создадим новую, log_delivery
3.3 Находим пункт включения службы WinRM. Включаем службу
3.4 Находим пункт настройки менеджера подписок
3.5 Активируем
3.6 Настроим путь до логколлектора
(Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=60)
3.7 Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1.
3.8 По умолчанию поиск не происходит среди компьютеров. Изменим это, выберем типы объектов для поиска
Укажем тип объектов -- компьютеры
3.9 Проведем поиск по имени pc1
3.10 Удаляем группу аутентифицированных пользователей
3.11 Находим меню создания правил брандмауэра и создадим новое правило inbound
3.12 Выберем преднастроенное правило для WinRM
3.13 Снимаем флажок с public
3.14 Разрешаем подключение
3.15 Для настройки политики нам понадобится дескриптор безопасности журнала.
3.16 Настроим доступ УЗ до журнала security
3.17 Активируем политику и введём параметр channelAccess"O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)"
3.18 И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы
3.19 Локальная группа -- читатели журнала событий
Пользователи -- администраторы домена
3.20 Сохраняем
3.21 Применяем на домен
3.22 Войдём в event viewvers и создадим новую подписку
3.23 Назовём её collector-get и отметим ПК, с которых коллектор будет собирать логи
3.24 select events и выберем нужные журналы
3.25 Зайдём в меню Advanced, укажем для сбора УЗ администратора
3.26 Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status
3.29Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1
Вбьём в консоль:
wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
3.28 После чего увидим логи в журнале forwarded events
Часть 4. Настройка сборщика логов при компьютерах-инициаторах
4.1 На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников)
4.2 На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows.
4.3 Создать подписку, где инициатором будут компьютеры
Sign in with Wallet
Connect another wallet