# !!!НЕ ИСПОЛЬЗУЕТСЯ!!! Настройка актива ГИС для аудита и мониторинга с помощью SIEM в Windows подобных ОС
###### tags: `Инструкции по SIEM`
*Настройку актива нужно выполнять от имени учетной записи с правами администратора*
**При использовании межсетевого экрана и других средств для контроля трафика требуется настроить в них правила, разрещающие трафик в сторону SIEM и сборщика логов**
На различных средствах контроля трафика должны быть установлены правила, разрешающие трафик от узла SIEM - 172.28.100.2 к узлу информационной системы по портам TCP 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535.
***
### Создание учетной записи с правами локального администратора
Создание локальной учетной записи средствами операционной системы Windows (рекомендуется создавать учетную запись с одинаковыми логинами и паролями на всех компьютерах входящих в ГИС, в дальнейшем эти учетные данные будут вноситься в систему мониторинга, если учетные данные будут разные, необходимо будет вносить их все):
1. Запускаем командную строку от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду `compmgmt.msc`
3. После выполнения данной команды, откроется панель «Управление компьютером» в ней необходимо выбрать вкладку «Локальные пользователи и группы – Пользователи», затем на панели сверху выбрать вкладку «Действие- Новый пользователь».
4. В окне создания нового пользователя необходимо указать имя пользователя и пароль, а также выставить параметры **«Запретить смену пароля пользователя»** и **«Срок действия пароля не ограничен»**, после этого необходимо щелкнуть кнопку **«Создать». (!!!Учетные данные созданной записи никому сообщать ну нужно).**
5. Переходим во вкладку **"Группы"** и выбрать группу **"Администраторы"**.
6. В открывшемся окне нажать кнопку **«Добавить»**, в доступном поле ввести имя только что созданного пользователя (обратите внимание на поле напротив кнопки **«Размещение»**, в данном поле должно быть указано имя компьютера (!!не имя домена!!)) и нажать кнопку «Проверить имя», если имя обнаружилось в поле, то нажать кнопку «ОК». В случае если созданная учетная запись не обнаруживается необходимо проверить имя учетной записи, а также проверить место поиска данной учетной записи.
**Учетная запись с требуемыми правами добавлена.**
### Отключение запрета аутентификации удаленным пользователям
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду «regedit».
3. В открывшемся «Редакторе реестра» перейти по пути **«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System»** и создать **«Параметр DWORD (32 бита)**, переименовать созданный параметр в «LocalAccountTokenFilterPolicy», затем присвоить данному параметру значение 1 (!ВАЖНО: Система исчисления – Десятичная). После нажать «ОК», закрыть редактор реестра.
### Настройка аудита создания процессов
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду **gpedit.msc**
3. Откроется редактор групповой политики в котором необходимо перейти по пути (Политика «Локальный компьютер» - Конфигурация компьютера - Административные шаблоны - Система) выбрать папку «Аудит создания процессов» в ней открыть параметр «Включать командную строку в события создания процессов» и изменить его на «Включено». Затем нажать «ОК».
**\!!!Если машины, которые относятся к ГИС привязаны к контроллеру домена то выполните следующие действия!!!**
- Если компьютер состоит в домене, то чтобы настроить аудит создания процессов из командной строки Windows с помощью групповой политики необходимо выполнить следующие шаги:
- Откройте панель управления Windows.
- Выберите **Администрирование → Управление групповой политикой.**
Запустится консоль управления групповыми политиками.
- В левой части окна выберите узел используемой групповой политики **Управление групповой политики → Лес: <Имя леса> → Домены → <Имя домена> → <Имя групповой политики серверов или рабочих станций>**
- В главном меню выберите **Действие → Изменить**
Откроется окно **Редактор управления групповыми политиками**
- В левой части окна выберите узел **Политика <Имя политики> → Конфигурация компьютера → Политики → Административные шаблоны → Система → Аудит создания процессов**
- Выберите **Включать командную строку в события создания процессов**
- В главном меню выберите **Действие → Изменить**
- В открывшемся окне выберите вариант **Включено**
- Нажмите кнопку **ОК**
Готово!
***
### Настройка файрволла на компьютере
**В данной инструкции рассматривается настройка встроенного файрволла Windows**
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду **wf.msc**
3. В окне брандмауэра выбрать пункт «Правила для входящих подключений», затем щелкнуть кнопку «Создать правило» справа на панели.
4. В мастере создания правила выбрать тип правила «Настраиваемые» и щелкнуть кнопку «Далее».
5. На следующем шаге выбрать пункт «Все программы».
6. На шаге «Протоколы и порты» установить тип протокола «TCP», локальный порт выбрать «Специальные порты» номера портов – 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535 удаленный порт также выбрать «Специальные порты» номера портов - 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535. Переходим на следующий шаг.
7. На шаге «Область» необходимо щелкнуть «Добавить» в графе «Удаленные IP-адреса» в открывшемся окне выбрать поле «IP-адрес или подсеть» и указать следующий IP-адрес **172.28.100.2**
8. На шаге «Действие» выбрать поле «Разрешить подключение» и продолжить.
9. Следующий шаг проходим без изменений, на последнем шаге указываем любое имя и нажимаем «Готово».
**!!! Если у вас используется сторонний файрволл на узле, необходимо настроить на нем возможность обращений по портам TCP 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535 с адреса 172.28.100.2. Также, на различных средствах контроля трафика должны быть установлены правила, разрешающие трафик между узлом информационной системы и узлом SIEM (172.28.100.2) по портам TCP 22, 23, 80, 111, 135, 137-139, 389, 443, 445, 636, 1433, 3306, 5432, 49152-65535.**
### Настройка расширенного аудита
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду **gpedit.msc**
3. В открывшемся редакторе групповой политики перейти по пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Конфигурация расширенной политики аудита – Политики аудита системы»**
4. Выбираем первую категорию **Вход учетной записи** в данном разделе двойным щелчком мыши открываем подкатегорию **Аудит проверки учетных данных** и выставляем галочки на пункты: **Настроить следующие события аудита:**, **Успех** и **Отказ**.
5. Аналогичным образом, как в предыдущем пункте, выставляем параметры в соответствии с табличкой ниже
**`X (крестик) - ставим галочку в пункт, 0 (нолик) - галочку ставить не нужно.`**
***Подкатегория аудита*** | ***Аудит успеха*** | ***Аудит отказа*** |
------- | -------- | -------- |
**Вход учетной записи**
**Аудит проверки учетных данных** | x | x |
**Аудит службы проверки подлинности Kerberos** | 0 | 0 |
**Аудит операций с билетами службы Kerberos** | 0 | 0 |
**Аудит других событий входа учетных записей** | x | x |
**Управление учетными записями**
**Аудит управления группами приложений** | x | 0 |
**Аудит управления учетными записями компьютеров** | 0 | 0 |
**Аудит управления группами распространения** | 0 | 0 |
**Аудит других событий управления учетными записями** | 0 | 0 |
**Аудит управления группами безопасности** | x | 0 |
**Аудит управления учетными записями пользователей** | x | x |
**Подробное отслеживание**
**Аудит активности DPAPI** | 0 | 0 |
**Аудит активности PNP** | x | 0 |
**Аудит создания процессов** | x | 0 |
**Аудит завершения процессов** | x | 0 |
**Аудит событий RPC** | 0 | 0 |
**Доступ к DS (службе каталогов)**
**Аудит подробной репликации службы каталогов** | x | x |
**Аудит доступа к службе каталогов** | 0 | 0 |
**Аудит изменения службы каталогов** | 0 | 0 |
**Аудит репликации службы каталогов** | 0 | 0 |
**Вход и выход из системы**
**Аудит блокировки учетных записей** | 0 | x |
**Аудит заявок пользователей или устройств на доступ** | 0 | 0 |
**Аудит расширенного режима IPsec** | 0 | 0 |
**Аудит основного режима IPsec** | 0 | 0 |
**Аудит быстрого режима IPsec** | 0 | 0 |
**Аудит выхода из системы** | x | 0 |
**Аудит входа** | x | x |
**Аудит сервера политики сети** | x | x |
**Аудит других событий входа и выхода** | x | x |
**Аудит специального входа** | x | 0 |
**Доступ к объектам**
**Аудит событий, создаваемых приложениями** | x | x |
**Аудит служб сертификации** | x | x |
**Аудит сведений об общем файловом ресурсе** | x | x |
**Аудит общего файлового ресурса** | x | x |
**Аудит файловой системы** | x | x |
**Аудит подключения платформы фильтрации** | 0 | x |
**Аудит отбрасывания пакетов платформой фильтрации** | 0 | 0 |
**Аудит работы с дескрипторами** | x | 0 |
**Аудит объектов ядра** | 0 | 0 |
**Аудит других событий доступа к объектам** | x | x |
**Аудит реестра** | x | x |
**Аудит съемного носителя** | x | x |
**Аудит диспетчера учетных записей безопасности** | x | x |
**Аудит сверки с централизованной политикой доступа** | 0 | 0 |
**Изменение политики**
**Аудит изменения политики аудита** | x | 0 |
**Аудит изменения политики проверки подлинности** | x | 0 |
**Аудит изменения политики авторизации** | x | 0 |
**Аудит изменения политики платформы фильтрации** | x | x |
**Аудит изменения политики на уровне правил MPSSVC** | x | x |
**Аудит других событий изменения политики** | x | x |
**Использование привилегий**
**Аудит использования привилегий, не затрагивающих конфиденциальные данные** | 0 | 0 |
**Аудит других событий использования привилегий** | 0 | 0 |
**Аудит использования привилегий, затрагивающих конфиденциальные данные** | 0 | 0 |
**Системные функции**
**Аудит драйвера IPsec** | x | x |
**Аудит других системных событий** | x | x |
**Аудит изменения состояния безопасности** | x | 0 |
**Аудит расширения системы безопасности** | x | 0 |
**Аудит целостности системы** | x | x |
**Аудит доступа к глобальным объектам**
**Файловая система** | 0 | 0 |
**Реестр** | 0 | 0 |
6. Далее «**Конфигурация компьютера - Конфигурация Windows - Административные шаблоны - Система - Аудит создания процессов -> Включать командную строку в события создания процессов**»
После того, как все параметры выставлены, закрываем окно.
Расширенный аудит настроен!
### Настройка получения обогащенных событий источника с помощью утилиты Sysmon
**Для получения более подробного описания событий необходимо использовать официальную утилиту Windows - Sysmon. Для упрощенной установки данной утилиты и её использования необходимо воспользоваться скриптом [**(sysmon_PT_official-install)**](https://disk.yandex.ru/d/38435ZWe6jA1fA). Внутри папки есть инструкция по использованию утилиты.**
### Мониторинг событий и аудит в MaxPatrol SIEM
1. Для возможности входа в систему мониторинга SIEM (любой компьютер, с которого будет осуществляться вход в систему) необходимо в файл hosts добавить следующие адреса (альтернативный вариант, настройка вашего DNS-сервера, если не используется DNS-правительства):
<pre><code>
nano /etc/hosts
172.28.100.2 siem.gossopka.local
172.28.100.2 mpx-core-agent.gossopka.local
</pre></code>
*Обращаем внимание, даже если раннее производились настройки файла hosts, необходимо перезаписать его, добавив именно эти адреса!*
2. Теперь вы сможете наблюдать события в SIEM системе по адресу:
**https://mpx-core-agent.gossopka.local**
3. Переходим по указанной выше ссылке, в открывшемся дашборде переходим по следующему пути **Сбор данных > Учетные записи**
4. Далее, выбираем **Добавить учетную запись** там щелкаем **Логин-пароль**
5. Тут указываем необходимые данные (в раздел **Метки** указываем данные как на скриншоте), затем нажимаем сохранить
Готово!
***
**Пожалуйста, сообщите специалистам SOC о внесенных настройках.**
Sign in with Wallet
Connect another wallet