# Настройка актива ГИС для аудита с помощью SIEM в Windows подобных ОС ###### tags: `Инструкции по SIEM` *Настройку актива нужно выполнять от имени учетной записи с правами администратора* **При использовании межсетевого экрана и других средств для контроля трафика требуется настроить в них правила, разрещающие трафик от SIEM к узлам ГИС** На различных средствах контроля трафика должны быть установлены правила, разрешающие трафик от узла SIEM - 172.28.100.2 к узлу информационной системы по портам TCP 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535. *** ### Создание учетной записи с правами локального администратора Создание локальной учетной записи средствами операционной системы Windows (рекомендуется создавать учетную запись с одинаковыми логинами и паролями на всех компьютерах входящих в ГИС, в дальнейшем эти учетные данные будут вноситься в систему мониторинга, если учетные данные будут разные, необходимо будет вносить их все): 1. Запускаем командную строку от имени администратора (Пуск – Служебные – Командная строка).  2. В открывшемся окне выполнить команду `compmgmt.msc`  3. После выполнения данной команды, откроется панель «Управление компьютером» в ней необходимо выбрать вкладку «Локальные пользователи и группы – Пользователи», затем на панели сверху выбрать вкладку «Действие- Новый пользователь».  4. В окне создания нового пользователя необходимо указать имя пользователя и пароль, а также выставить параметры **«Запретить смену пароля пользователя»** и **«Срок действия пароля не ограничен»**, после этого необходимо щелкнуть кнопку **«Создать». (!!!Учетные данные созданной записи никому сообщать ну нужно).**  5. Переходим во вкладку **"Группы"** и выбрать группу **"Администраторы"**.  6. В открывшемся окне нажать кнопку **«Добавить»**, в доступном поле ввести имя только что созданного пользователя (обратите внимание на поле напротив кнопки **«Размещение»**, в данном поле должно быть указано имя компьютера (!!не имя домена!!)) и нажать кнопку «Проверить имя», если имя обнаружилось в поле, то нажать кнопку «ОК». В случае если созданная учетная запись не обнаруживается необходимо проверить имя учетной записи, а также проверить место поиска данной учетной записи.  **Учетная запись с требуемыми правами добавлена.** ### Отключение запрета аутентификации удаленным пользователям 1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).  2. В открывшемся окне выполнить команду «regedit».  3. В открывшемся «Редакторе реестра» перейти по пути **«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System»** и создать **«Параметр DWORD (32 бита)**, переименовать созданный параметр в «LocalAccountTokenFilterPolicy», затем присвоить данному параметру значение 1 (!ВАЖНО: Система исчисления – Десятичная). После нажать «ОК», закрыть редактор реестра.  *** ### Настройка файрволла на компьютере **В данной инструкции рассматривается настройка встроенного файрволла Windows** 1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).  2. В открывшемся окне выполнить команду **wf.msc**  3. В окне брандмауэра выбрать пункт «Правила для входящих подключений», затем щелкнуть кнопку «Создать правило» справа на панели.  4. В мастере создания правила выбрать тип правила «Настраиваемые» и щелкнуть кнопку «Далее».  5. На следующем шаге выбрать пункт «Все программы».  6. На шаге «Протоколы и порты» установить тип протокола «TCP», локальный порт выбрать «Специальные порты» номера портов – 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535 удаленный порт также выбрать «Специальные порты» номера портов - 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535. Переходим на следующий шаг.  7. На шаге «Область» необходимо щелкнуть «Добавить» в графе «Удаленные IP-адреса» в открывшемся окне выбрать поле «IP-адрес или подсеть» и указать следующий IP-адрес **172.28.100.2**  8. На шаге «Действие» выбрать поле «Разрешить подключение» и продолжить.  9. Следующий шаг проходим без изменений, на последнем шаге указываем любое имя и нажимаем «Готово».  **!!! Если у вас используется сторонний файрволл на узле, необходимо настроить на нем возможность обращений по портам TCP 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535 с адреса 172.28.100.2. Также, на различных средствах контроля трафика должны быть установлены правила, разрешающие трафик между узлом информационной системы и узлом SIEM (172.28.100.2) по портам TCP 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535.** ### Добавление учетной записи в MaxPatrol SIEM 1. Для возможности входа в систему мониторинга SIEM (любой компьютер, с которого будет осуществляться вход в систему) необходимо в файл hosts добавить следующие адреса (альтернативный вариант, настройка вашего DNS-сервера, если не используется DNS-правительства): ***Пути до файлов*** **Linux: /etc/hosts Windows C:\Windows\System32\drivers\etc\hosts** <pre><code> 172.28.100.11 mp10-core.gossopka.local </pre></code> *Обращаем внимание, даже если раннее производились настройки файла hosts, необходимо перезаписать его, добавив именно эти адреса!* 2. Теперь вы сможете наблюдать события в SIEM системе по адресу: **https://mp10-core.gossopka.local** 3. Переходим по указанной выше ссылке, в открывшемся дашборде переходим по следующему пути **Сбор данных > Учетные записи**  4. Далее, выбираем **Добавить учетную запись** там щелкаем **Логин-пароль** (добавляем учетную запись созданную на первом шаге данной инструкции)  5. Тут указываем необходимые данные (в раздел **Метки** указываем данные как на скриншоте), затем нажимаем сохранить  Готово! *** **Пожалуйста, сообщите специалистам SOC о внесенных настройках.**