Практическая работа №5.2 Средства мониторинга Windows

# Практическая работа №5.2 Средства мониторинга Windows # Занятие 5 - Обмен данными в домене и средства мониторинга Windows ## Управление средствами мониторинга Windows 2.1 Зайдём в настройки папки share ![](https://i.imgur.com/DxJlRsU.png) 2.2 Security -> Advanced ![](https://i.imgur.com/V1a9RQ3.png) 2.3 Зайдём во вкладку Аудит и нажмём Add, чтобы добавить правило аудита ![](https://i.imgur.com/mpm7wcI.png) 2.4 Выберем Principal -- это объект, действия которого нужно логировать ![](https://i.imgur.com/qcnDpjn.png) 2.5 Отметим группу Domain Users ![](https://i.imgur.com/s02gDCP.png) 2.6 Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions ![](https://i.imgur.com/cS839KT.png) 2.7 Отметим галочкой оба пункта Delete и нажмём ОК ![](https://i.imgur.com/xmXH7IU.png) 2.8 Правило создано для папки share, а так же всех её вложенных папок и файлов ![](https://i.imgur.com/XoY2DwB.png) 2.9 На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share ![](https://i.imgur.com/d1KpRYG.png) 2.10 Проверим журнал безопасности dc1 ![](https://i.imgur.com/8b7xpRW.png) 2.11 Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра ![](https://i.imgur.com/O0unDmM.png) 2.12 По итогу вы увидите много подряд идущих событий, из которых 3 явно нас интересуют ![](https://i.imgur.com/uLgWYOG.png) ![](https://i.imgur.com/35ldaQL.png) ![](https://i.imgur.com/qDpbiTT.png) ## Инфраструктура отправки журналов Windows в SIEM 3.1 Включим сервис сборщика логов и подтвердим его автостарт ![](https://i.imgur.com/Q0OH0Dk.png) 3.2 Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery ![](https://i.imgur.com/zTG3z5O.png) 3.3 Найдём пункт включения службы WinRM ![](https://i.imgur.com/u6tfaJF.png) 3.4 Включим службу ![](https://i.imgur.com/duZFbIA.png) 3.5 Найдём пункт настройки менеджера подписок ![](https://i.imgur.com/KyZMo6a.png) 3.6 Активируем его ![](https://i.imgur.com/TzN93MR.png) 3.7 Настроим путь до логколлектора ![](https://i.imgur.com/ioCqGOi.png) 3.8 Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1 ![](https://i.imgur.com/ChjYpSb.png) 3.9 По умолчанию поиск не происходит среди компьютеров. Изменим это, выберем типы объектов для поиска ![](https://i.imgur.com/6D7tg2e.png) 3.10 Укажем тип объектов -- компьютеры ![](https://i.imgur.com/pyAZ3uu.png) 3.11 И проведем поиск по имени pc1 (введем имя и нажмём check names) ![](https://i.imgur.com/27xnFwb.png) 3.12 После -- удалим группу аутентифицированных пользователей, она не пригодится ![](https://i.imgur.com/LI24dRk.png) 3.13 Найдём меню создания правил брандмауэра и создадим новое правило inbound ![](https://i.imgur.com/jRBlqJl.png) 3.14 Выберем преднастроенное правило для WinRM ![](https://i.imgur.com/nKvpODX.png) 3.15 Создадим это правило только для доменной и частной сети (снимем галочку с public) ![](https://i.imgur.com/lCKqx2D.png) 3.16 Разрешим подключение ![](https://i.imgur.com/nT4um2k.png) 3.17 Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1 ![](https://i.imgur.com/mSstwUT.png) 3.18 Настроим доступ УЗ до журнала security ![](https://i.imgur.com/JqHlSnB.png) 3.19 Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/QfdrsMz.png) 3.20 И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы ![](https://i.imgur.com/qkNk74z.png) 3.21 Локальная группа -- читатели журнала событий ![](https://i.imgur.com/ENxDTID.png) 3.22 Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий ![](https://i.imgur.com/1uFjSoW.png) 3.23 Вот так по итогу, применяем-сохраняем ![](https://i.imgur.com/Sz9C51W.png) 3.24 Применим на домен ![](https://i.imgur.com/bFjTlxc.png) ![](https://i.imgur.com/esZ4DdO.png) 3.26 Создадим новую подписку ![](https://i.imgur.com/2Z4uqSd.png) 3.27 Назовём её collector-get и отметим ПК, с которых коллектор будет собирать логи (select computers) ![](https://i.imgur.com/67MT3l6.png) 3.28 Выберем доменные компьютеры ![](https://i.imgur.com/Aht7NLC.png) 3.29 Выберем PC1 ![](https://i.imgur.com/TCPrZ9w.png) 3.30 Нажмём кнопку Test чтобы проверить сетевую связность ![](https://i.imgur.com/tb17ZUC.png) 3.32 Зайдём в меню select events и выберем нужные журналы ![](https://i.imgur.com/LnBRM8P.png) 3.33 Зайдём в меню Advanced, укажем для сбора УЗ администратора ![](https://i.imgur.com/IbV2Uhb.png) 3.34 Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status ![](https://i.imgur.com/xP3IZiX.png) 3.35 Увидим отсутствие ошибок ![](https://i.imgur.com/MiwKkHR.png) 3.36 Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 ![](https://i.imgur.com/2J1oeWr.png) 3.37 После чего увидим логи в журнале forwarded events ![](https://i.imgur.com/eZRNPPh.png) 4.1 На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса ![](https://i.imgur.com/HtLwsgu.png) 4.2 На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows ![](https://i.imgur.com/wqv7d9k.png) 4.4 Создать подписку, где инициатором будут компьютеры ![](https://i.imgur.com/bvOIdph.png) ![](https://i.imgur.com/5nuWsvd.png) ![](https://i.imgur.com/72gnmCR.png) ![](https://i.imgur.com/tHQAq0u.png) ![](https://i.imgur.com/Wqq9Dmn.png) ![](https://i.imgur.com/uXmXEw8.png) ![](https://i.imgur.com/33fbDxs.png)