# Настройка актива ГИС мониторинга с помощью SIEM в Windows подобных ОС
###### tags: `Инструкции по SIEM`
*Настройку актива нужно выполнять от имени учетной записи с правами администратора*
**При использовании межсетевого экрана и других средств для контроля трафика требуется настроить в них правила, разрещающие трафик в сторону SIEM и сборщика логов**
На различных средствах контроля трафика должны быть установлены правила, разрешающие трафик от узла информационной системы к WindowsLogCollector(сборщик логов Windows) - 172.31.255.38 по порту 5986 TCP.
***
## Настройка получения обогащенных событий источника с помощью утилиты Sysmon
**Для получения более подробного описания событий необходимо использовать официальную утилиту Windows - Sysmon. Для упрощенной установки данной утилиты и её использования необходимо воспользоваться скриптом [**(sysmon_PT_official-install)**](https://disk.yandex.ru/d/Z3ZhicOAt_p24Q). Внутри папки есть инструкция по использованию утилиты.**
***
## Настройка сбора и отправки событий в Windows Log Collector
**!!!ВАЖНО!!!**
**Преждем чем приступать к данной настройки у вас уже должна быть выполнена настройка получения событий с помощью утилиты Sysmon!**
### Добавление сертификата и настройка прав доступа сертификата
1. По следующей ссылке скачиваем архив с нужным сертификатом - https://disk.yandex.ru/d/7yfYoKchmpRVMA (MD5: DEECA201775380448DAD2853F8B37A1B)
2. В архиве имеется сертификат и сертификат с закрытым ключом. Добавим сначала сертификат в "Доверенные корневые центры сертификации" для этого:
- Открываем сертификат с расширением ".cer" двойным щелчком мыши.
- Выбираем "Установить сертификат", затем выбираем "Локальный компьютер" щелкаем "Далее".
- В следующем окне выбираем пункт "Поместить все сертификаты в следующее хранилище" и по кнопке обзор выбираем "Доверенные корневые центры сертификации", затем "Ок" и "Далее".
- И в последнем окне щелкаем "Готово"
3. Добавляем сертификат с закрытым ключом:
- Открываем сертификат с разрешением ".pfx" в открывшемся окне выбираем "Локальный компьютер" и щелкаем "Далее".
- Проверяем, что путь до сертификата указан верно и щелкаем "Далее".
- В следующем окне необходимо указать пароль от сертификата (**пароль нужно запросить у специалиста кибербезопасности**), затем щелкаем "Далее".
- В окне выбора хранилища ставим пункт "Поместить все сертификаты в следующее хранилище" и по кнопке "Обзор" выбираем "Личное". Затем щелкаем "Далее".
- В последнем окне щелкаем "Готово"
4. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
5. В открывшемся окне необходимо выполнить команду **certlm.msc**
6. Далее переходим по пути "Личное - Сертификаты" и щелкаем правой кнопкой мыши по сертификату "EventCollector" в открывшемся контекстном меню выбираем "Все задачи - Управление закрытыми ключами"
7. В открывшемся окне щелкаем "Добавить" затем "Размещение", тут выбираем ваш компьютер (в примере "SOC2").
8. Затем в полсе выбираемых объектов пишем "NETWORK SERVICE" и щелкаем "Проверить имена" и затем "Ок".
9. Проверяем что у добавленой группы есть **разрешающие** права на "Полный доступ" и "Чтение". Щелкаем "Ок".
Необходимые сертификаты и права добавлены!
### Добавление DNS записи сервера сборщика в файл hosts
1. Открываем стандартную программу "Блокнот" от имени администратора.
2. В программе щелкаем "Файл - Открыть" (либо используем комбинацию клавиш **Ctrl + O**)
3. Переходим по пути **C:\Windows\System32\drivers\etc** и выбираем файлик hosts (если файл не видн, то выберите в формате файлов "Все файлы").
4. В конец файла допишите следующую строку **172.31.255.38 EventCollector**
5. Сохраните файл.
### Настройка передачи событий на сервер-сборщик
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполняем команду **winrm quickconfig** (соглашаемся клавишей **y**, если будет запрос на настройку), а затем выполняем команду **winrm g winrm/config** результат должен быть примерно как на скришоте.
3. Затем, там же в командной строке выполняем следующую команду: **winrm set winrm/config/client/auth @{Certificate="true"}** (если возникает ошибка, то необходимо вручную удалить и добавить кавычки заново в слове **true**)
4. Проверяем корректность связи с сервером-сборщиком следующей командой: **winrm g winrm/config -r:https://EventCollector:5986 -a:certificate -certificate:e618a986b9c8919b4bff09e01f9ea58f26058c4f** (Должен вернутся ответ как на скриншоте, в случае ошибки необходимо обратиться к специалисту кибербезопасности для решения проблемы)
5. Затем, необходимо загрузить скрипт по ссылке (https://disk.yandex.ru/d/NzDXfJH4-vTcqw) (MD5: AE3016CD15C5A1A0D1506134F73B0730) и запустить его от имени администратора. Данный скрипт выдаст на требуемые журналы права, которые дадут возможность их отправки на сервер-сборщик.
6. Далее, в командной строке вводим следующую команду **gpedit.msc**
7. В открывшемся окне переходим по пути **Политика "Локальный компьютер" → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Пересылка событий** и выбираем **Настроить конечный диспетчер подписки**
8. В данном окне выбираем пункт "Включено", в графе параметры щелкаем "Показать", в поле "Значение" указываем следующее **Server=https://EventCollector:5986/wsman/SubscriptionManager/WEC,Refresh=60,IssuerCA=e618a986b9c8919b4bff09e01f9ea58f26058c4f** и нажимаем "Ок". Во втором окне, также щелкаем "Ок"
Настройка отправки завершена!
***
## Настройка аудита создания процессов
**Если компьютер на котором выполняется настройка состоит в домене, то первые 3 пункта выполнять не нужно, сразу переходите к настройке через групповые политики**
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду **gpedit.msc**
3. Откроется редактор групповой политики в котором необходимо перейти по пути **(Политика «Локальный компьютер» - Конфигурация компьютера - Административные шаблоны - Система)** выбрать папку **«Аудит создания процессов»** в ней открыть параметр **«Включать командную строку в события создания процессов»** и изменить его на **«Включено»**. Затем нажать **«ОК»**.
**\!!!Если машины, которые относятся к ГИС привязаны к контроллеру домена то выполните следующие действия!!!**
- Если компьютер состоит в домене, то чтобы настроить аудит создания процессов из командной строки Windows с помощью групповой политики необходимо выполнить следующие шаги:
- Откройте панель управления Windows.
- Выберите **Администрирование → Управление групповой политикой.**
Запустится консоль управления групповыми политиками.
- В левой части окна выберите узел используемой групповой политики **Управление групповой политики → Лес: <Имя леса> → Домены → <Имя домена> → <Имя групповой политики серверов или рабочих станций>**
- В главном меню выберите **Действие → Изменить**
Откроется окно **Редактор управления групповыми политиками**
- В левой части окна выберите узел **Политика <Имя политики> → Конфигурация компьютера → Политики → Административные шаблоны → Система → Аудит создания процессов**
- Выберите **Включать командную строку в события создания процессов**
- В главном меню выберите **Действие → Изменить**
- В открывшемся окне выберите вариант **Включено**
- Нажмите кнопку **ОК**
Готово!
***
## Настройка мониторинга критических модулей
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду **gpedit.msc**
3. В открывшемся редакторе групповой политики перейти по пути **«Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Windows Powershell»** и выбираем пункт **Включить регистрацию блоков сценариев PowerShell**
4. Открываем указанный выше пункт и включаем его, также необходимо дополнительно поставить галочку на параметр **Регистрация начала или остановки вызова блоков сценариев** и нажимаем "Ок".
5. Далее, тут же в редакторе локальной групповой политике переходим по следующему пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики - Параметры безопасности»** тут находим пункт **Сетевая безопасность: Ограничения NTLM: Исходящий трафик NTLM к удаленным сервисам**, открываем его.
6. В доступной графе выставляем **Аудит всего**.
Настройка критичных сервисов завершена.
***
## Настройка расширенного аудита
1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).
2. В открывшемся окне выполнить команду **gpedit.msc**
3. Затем переходим по пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Параметры безопасности»** и находим пункт **"Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита"**, включаем его.
После того, как все параметры выставлены, закрываем окно.
Расширенный аудит настроен!
4. В открывшемся редакторе групповой политики перейти по пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Конфигурация расширенной политики аудита – Политики аудита системы»**
5. Выбираем первую категорию **Вход учетной записи** в данном разделе двойным щелчком мыши открываем подкатегорию **Аудит проверки учетных данных** и выставляем галочки на пункты: **Настроить следующие события аудита:**, **Успех** и **Отказ**.
6. Аналогичным образом, как в предыдущем пункте, выставляем параметры в соответствии с табличкой ниже
**`X (крестик) - ставим галочку в пункт, 0 (нолик) - галочку ставить не нужно.`**
***Подкатегория аудита*** | ***Аудит успеха*** | ***Аудит отказа*** |
------- | -------- | -------- |
**Вход учетной записи**
**Аудит проверки учетных данных** | x | x |
**Аудит службы проверки подлинности Kerberos** | 0 | 0 |
**Аудит операций с билетами службы Kerberos** | 0 | 0 |
**Аудит других событий входа учетных записей** | x | x |
**Управление учетными записями**
**Аудит управления группами приложений** | x | 0 |
**Аудит управления учетными записями компьютеров** | 0 | 0 |
**Аудит управления группами распространения** | 0 | 0 |
**Аудит других событий управления учетными записями** | 0 | 0 |
**Аудит управления группами безопасности** | x | 0 |
**Аудит управления учетными записями пользователей** | x | x |
**Подробное отслеживание**
**Аудит активности DPAPI** | 0 | 0 |
**Аудит активности PNP** | x | 0 |
**Аудит создания процессов** | x | 0 |
**Аудит завершения процессов** | x | 0 |
**Аудит событий RPC** | 0 | 0 |
**Доступ к DS (службе каталогов)**
**Аудит подробной репликации службы каталогов** | x | x |
**Аудит доступа к службе каталогов** | 0 | 0 |
**Аудит изменения службы каталогов** | 0 | 0 |
**Аудит репликации службы каталогов** | 0 | 0 |
**Вход и выход из системы**
**Аудит блокировки учетных записей** | 0 | x |
**Аудит заявок пользователей или устройств на доступ** | 0 | 0 |
**Аудит расширенного режима IPsec** | 0 | 0 |
**Аудит основного режима IPsec** | 0 | 0 |
**Аудит быстрого режима IPsec** | 0 | 0 |
**Аудит выхода из системы** | x | 0 |
**Аудит входа** | x | x |
**Аудит сервера политики сети** | x | x |
**Аудит других событий входа и выхода** | x | x |
**Аудит специального входа** | x | 0 |
**Доступ к объектам**
**Аудит событий, создаваемых приложениями** | x | x |
**Аудит служб сертификации** | x | x |
**Аудит сведений об общем файловом ресурсе** | x | x |
**Аудит общего файлового ресурса** | x | x |
**Аудит файловой системы** | x | x |
**Аудит подключения платформы фильтрации** | 0 | x |
**Аудит отбрасывания пакетов платформой фильтрации** | 0 | 0 |
**Аудит работы с дескрипторами** | x | 0 |
**Аудит объектов ядра** | 0 | 0 |
**Аудит других событий доступа к объектам** | x | x |
**Аудит реестра** | x | x |
**Аудит съемного носителя** | x | x |
**Аудит диспетчера учетных записей безопасности** | x | x |
**Аудит сверки с централизованной политикой доступа** | 0 | 0 |
**Изменение политики**
**Аудит изменения политики аудита** | x | 0 |
**Аудит изменения политики проверки подлинности** | x | 0 |
**Аудит изменения политики авторизации** | x | 0 |
**Аудит изменения политики платформы фильтрации** | x | x |
**Аудит изменения политики на уровне правил MPSSVC** | x | x |
**Аудит других событий изменения политики** | x | x |
**Использование привилегий**
**Аудит использования привилегий, не затрагивающих конфиденциальные данные** | 0 | 0 |
**Аудит других событий использования привилегий** | 0 | 0 |
**Аудит использования привилегий, затрагивающих конфиденциальные данные** | 0 | 0 |
**Системные функции**
**Аудит драйвера IPsec** | x | x |
**Аудит других системных событий** | x | x |
**Аудит изменения состояния безопасности** | x | 0 |
**Аудит расширения системы безопасности** | x | 0 |
**Аудит целостности системы** | x | x |
**Аудит доступа к глобальным объектам**
**Файловая система** | 0 | 0 |
**Реестр** | 0 | 0 |
***
## Просмотр событий в MaxPatrol SIEM
**Учетные записи для просмотра событий необходимо получать через портал help.orb.ru. Заявку оформлять на отдел кибербезопасности**
1. Для возможности входа в систему мониторинга SIEM (любой компьютер, с которого будет осуществляться вход в систему) необходимо в файл hosts добавить следующие адреса (альтернативный вариант, настройка вашего DNS-сервера, если не используется DNS-правительства):
<pre><code>
nano /etc/hosts
172.28.100.11 mp10-core.gossopka.local
</pre></code>
*Обращаем внимание, даже если раннее производились настройки файла hosts, необходимо перезаписать его, добавив именно эти адреса!*
2. Теперь вы сможете наблюдать события в SIEM системе по адресу:
**https://mp10-core.gossopka.local**
Готово!
***
**Пожалуйста, сообщите специалистам отдела кибербезопасности о внесенных настройках.**
Google Drive
Gist
Clipboard
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
