Практическая работа №5.2 Средства мониторинга Windows

Занятие 5 - Обмен данными в домене и средства мониторинга Windows

Управление средствами мониторинга Windows

2.1 Зайдём в настройки папки share

2.2 Security -> Advanced

2.3 Зайдём во вкладку Аудит и нажмём Add, чтобы добавить правило аудита

2.4 Выберем Principal – это объект, действия которого нужно логировать

2.5 Отметим группу Domain Users

2.6 Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions

2.7 Отметим галочкой оба пункта Delete и нажмём ОК

2.8 Правило создано для папки share, а так же всех её вложенных папок и файлов

2.9 На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share

2.10 Проверим журнал безопасности dc1

2.11 Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра

2.12 По итогу вы увидите много подряд идущих событий, из которых 3 явно нас интересуют

Инфраструктура отправки журналов Windows в SIEM

3.1 Включим сервис сборщика логов и подтвердим его автостарт

3.2 Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery

3.3 Найдём пункт включения службы WinRM

3.4 Включим службу

3.5 Найдём пункт настройки менеджера подписок

3.6 Активируем его

3.7 Настроим путь до логколлектора

3.8 Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1

3.9 По умолчанию поиск не происходит среди компьютеров. Изменим это, выберем типы объектов для поиска

3.10 Укажем тип объектов – компьютеры

3.11 И проведем поиск по имени pc1 (введем имя и нажмём check names)

3.12 После – удалим группу аутентифицированных пользователей, она не пригодится

3.13 Найдём меню создания правил брандмауэра и создадим новое правило inbound

3.14 Выберем преднастроенное правило для WinRM

3.15 Создадим это правило только для доменной и частной сети (снимем галочку с public)

3.16 Разрешим подключение

3.17 Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1

3.18 Настроим доступ УЗ до журнала security

3.19 Активируем политику и введём параметр channelAccess

3.20 И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы

3.21 Локальная группа – читатели журнала событий

3.22 Пользователи – администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий

3.23 Вот так по итогу, применяем-сохраняем

3.24 Применим на домен

3.26 Создадим новую подписку

3.27 Назовём её collector-get и отметим ПК, с которых коллектор будет собирать логи (select computers)

3.28 Выберем доменные компьютеры

3.29 Выберем PC1

3.30 Нажмём кнопку Test чтобы проверить сетевую связность

3.32 Зайдём в меню select events и выберем нужные журналы

3.33 Зайдём в меню Advanced, укажем для сбора УЗ администратора

3.34 Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status

3.35 Увидим отсутствие ошибок

3.36 Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1

3.37 После чего увидим логи в журнале forwarded events

4.1 На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса

4.2 На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows

4.4 Создать подписку, где инициатором будут компьютеры