---
# System prepended metadata

title: Настройка актива ГИС мониторинга с помощью SIEM в Windows подобных ОС
tags: [Инструкции по SIEM]

---

# Настройка актива ГИС мониторинга с помощью SIEM в Windows подобных ОС
###### tags: `Инструкции по SIEM`
*Настройку актива нужно выполнять от имени учетной записи с правами администратора*

**При использовании межсетевого экрана и других средств для контроля трафика требуется настроить в них правила, разрещающие трафик в сторону SIEM и сборщика логов**
На различных средствах контроля трафика должны быть установлены правила, разрешающие трафик от узла информационной системы к WindowsLogCollector(сборщик логов Windows) - 172.31.255.38 по порту 5986 TCP.

***

## Настройка получения обогащенных событий источника с помощью утилиты Sysmon

**Для получения более подробного описания событий необходимо использовать официальную утилиту Windows - Sysmon. Для упрощенной установки данной утилиты и её использования необходимо воспользоваться скриптом [**(sysmon_PT_official-install)**](https://disk.yandex.ru/d/Z3ZhicOAt_p24Q). Внутри папки есть инструкция по использованию утилиты.**

***

## Настройка сбора и отправки событий в Windows Log Collector

**!!!ВАЖНО!!!**
**Преждем чем приступать к данной настройки у вас уже должна быть выполнена настройка получения событий с помощью утилиты Sysmon!**

### Добавление сертификата и настройка прав доступа сертификата

1. По следующей ссылке скачиваем архив с нужным сертификатом - https://disk.yandex.ru/d/7yfYoKchmpRVMA (MD5: DEECA201775380448DAD2853F8B37A1B)
2. В архиве имеется сертификат и сертификат с закрытым ключом. Добавим сначала сертификат в "Доверенные корневые центры сертификации" для этого:
  - Открываем сертификат с расширением ".cer" двойным щелчком мыши.

![](https://i.imgur.com/ywAuLDM.png)

  - Выбираем "Установить сертификат", затем выбираем "Локальный компьютер" щелкаем "Далее".

![](https://i.imgur.com/uxaizs7.png)

  - В следующем окне выбираем пункт "Поместить все сертификаты в следующее хранилище" и по кнопке обзор выбираем "Доверенные корневые центры сертификации", затем "Ок" и "Далее".

![](https://i.imgur.com/ue2QQ28.png)

  - И в последнем окне щелкаем "Готово"

![](https://i.imgur.com/gtmiAsS.png)

3. Добавляем сертификат с закрытым ключом:
  - Открываем сертификат с разрешением ".pfx" в открывшемся окне выбираем "Локальный компьютер" и щелкаем "Далее".

![](https://i.imgur.com/OqIwlHY.png)

  - Проверяем, что путь до сертификата указан верно и щелкаем "Далее".

![](https://i.imgur.com/XelAw7y.png)

  - В следующем окне необходимо указать пароль от сертификата (**пароль нужно запросить у специалиста кибербезопасности**), затем щелкаем "Далее".

![](https://i.imgur.com/NtNEp5B.png)

  - В окне выбора хранилища ставим пункт "Поместить все сертификаты в следующее хранилище" и по кнопке "Обзор" выбираем "Личное". Затем щелкаем "Далее".

![](https://i.imgur.com/gxJcDgG.png)

  - В последнем окне щелкаем "Готово"

![](https://i.imgur.com/eXehEA2.png)

4. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).

![](https://i.imgur.com/aT6tSNB.png)

5. В открывшемся окне необходимо выполнить команду **certlm.msc**

![](https://i.imgur.com/ztYUOUQ.png)


6. Далее переходим по пути "Личное - Сертификаты" и щелкаем правой кнопкой мыши по сертификату "EventCollector" в открывшемся контекстном меню выбираем "Все задачи - Управление закрытыми ключами"

![](https://i.imgur.com/6bZlMZX.png)

7. В открывшемся окне щелкаем "Добавить" затем "Размещение", тут выбираем ваш компьютер (в примере "SOC2").

![](https://i.imgur.com/ijpAE1Q.png)

8. Затем в полсе выбираемых объектов пишем "NETWORK SERVICE" и щелкаем "Проверить имена" и затем "Ок".

![](https://i.imgur.com/AhBujTj.png)

9. Проверяем что у добавленой группы есть **разрешающие** права на "Полный доступ" и "Чтение". Щелкаем "Ок".

![](https://i.imgur.com/5kV8M9A.png)

Необходимые сертификаты и права добавлены!

### Добавление DNS записи сервера сборщика в файл hosts

1. Открываем стандартную программу "Блокнот" от имени администратора.
2. В программе щелкаем "Файл - Открыть" (либо используем комбинацию клавиш **Ctrl + O**)
3. Переходим по пути **C:\Windows\System32\drivers\etc** и выбираем файлик hosts (если файл не видн, то выберите в формате файлов "Все файлы").
4. В конец файла допишите следующую строку **172.31.255.38	EventCollector**
5. Сохраните файл.

### Настройка передачи событий на сервер-сборщик

1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).

![](https://i.imgur.com/aT6tSNB.png)

2. В открывшемся окне выполняем команду **winrm quickconfig** (соглашаемся клавишей **y**, если будет запрос на настройку), а затем выполняем команду **winrm g winrm/config** результат должен быть примерно как на скришоте.

![](https://i.imgur.com/bh3pGvn.png)

3. Затем, там же в командной строке выполняем следующую команду: **winrm set winrm/config/client/auth @{Certificate="true"}** (если возникает ошибка, то необходимо вручную удалить и добавить кавычки заново в слове **true**)

![](https://i.imgur.com/YPaUIa9.png)

4. Проверяем корректность связи с сервером-сборщиком следующей командой: **winrm g winrm/config -r:https://EventCollector:5986 -a:certificate -certificate:e618a986b9c8919b4bff09e01f9ea58f26058c4f** (Должен вернутся ответ как на скриншоте, в случае ошибки необходимо обратиться к специалисту кибербезопасности для решения проблемы)

![](https://i.imgur.com/T9Ibf2z.png)

5. Затем, необходимо загрузить скрипт по ссылке (https://disk.yandex.ru/d/NzDXfJH4-vTcqw) (MD5: AE3016CD15C5A1A0D1506134F73B0730) и запустить его от имени администратора. Данный скрипт выдаст на требуемые журналы права, которые дадут возможность их отправки на сервер-сборщик.

6. Далее, в командной строке вводим следующую команду **gpedit.msc**

![](https://i.imgur.com/IWl4eqP.png)

7. В открывшемся окне переходим по пути **Политика "Локальный компьютер" → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Пересылка событий** и выбираем **Настроить конечный диспетчер подписки**

![](https://i.imgur.com/hbOMSgh.png)

8. В данном окне выбираем пункт "Включено", в графе параметры щелкаем "Показать", в поле "Значение" указываем следующее **Server=https://EventCollector:5986/wsman/SubscriptionManager/WEC,Refresh=60,IssuerCA=e618a986b9c8919b4bff09e01f9ea58f26058c4f** и нажимаем "Ок". Во втором окне, также щелкаем "Ок"


Настройка отправки завершена!

***

## Настройка аудита создания процессов

**Если компьютер на котором выполняется настройка состоит в домене, то первые 3 пункта выполнять не нужно, сразу переходите к настройке через групповые политики**

1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).

![](https://i.imgur.com/aT6tSNB.png)

2. В открывшемся окне выполнить команду **gpedit.msc**

    ![](https://i.imgur.com/N0663x3.png)

3. Откроется редактор групповой политики в котором необходимо перейти по пути **(Политика «Локальный компьютер» - Конфигурация компьютера - Административные шаблоны - Система)** выбрать папку **«Аудит создания процессов»** в ней открыть параметр **«Включать командную строку в события создания процессов»** и изменить его на **«Включено»**. Затем нажать **«ОК»**.

    ![](https://i.imgur.com/PZB8UYc.png)

    **\!!!Если машины, которые относятся к ГИС привязаны к контроллеру домена то выполните следующие действия!!!**

- Если компьютер состоит в домене, то чтобы настроить аудит создания процессов из командной строки Windows с помощью групповой политики необходимо выполнить следующие шаги:
    - Откройте панель управления Windows.
    - Выберите **Администрирование → Управление групповой политикой.**
Запустится консоль управления групповыми политиками.
    - В левой части окна выберите узел используемой групповой политики **Управление групповой политики → Лес: <Имя леса> → Домены → <Имя домена> → <Имя групповой политики серверов или рабочих станций>**
    - В главном меню выберите **Действие → Изменить**
Откроется окно **Редактор управления групповыми политиками**
    - В левой части окна выберите узел **Политика <Имя политики> → Конфигурация компьютера → Политики → Административные шаблоны → Система → Аудит создания процессов**
    - Выберите **Включать командную строку в события создания процессов**
    - В главном меню выберите **Действие → Изменить**
    - В открывшемся окне выберите вариант **Включено**
    - Нажмите кнопку **ОК**

Готово!

***

## Настройка мониторинга критических модулей

1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).

![](https://i.imgur.com/aT6tSNB.png)

2. В открывшемся окне выполнить команду **gpedit.msc**

    ![](https://i.imgur.com/N0663x3.png)

3. В открывшемся редакторе групповой политики перейти по пути **«Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Windows Powershell»** и выбираем пункт **Включить регистрацию блоков сценариев PowerShell**

![](https://i.imgur.com/yJLbgBt.png)

4. Открываем указанный выше пункт и включаем его, также необходимо дополнительно поставить галочку на параметр **Регистрация начала или остановки вызова блоков сценариев** и нажимаем "Ок".

![](https://i.imgur.com/Momz2lh.png)

5. Далее, тут же в редакторе локальной групповой политике переходим по следующему пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики - Параметры безопасности»** тут находим пункт **Сетевая безопасность: Ограничения NTLM: Исходящий трафик NTLM к удаленным сервисам**, открываем его.

![](https://i.imgur.com/FUaNPBT.png)


6. В доступной графе выставляем **Аудит всего**.

![](https://i.imgur.com/V7OGcMD.png)

Настройка критичных сервисов завершена.

***


## Настройка расширенного аудита 

1. Запускаем командную строку (cmd.exe) от имени администратора (Пуск – Служебные – Командная строка).

![](https://i.imgur.com/jSfTMSL.png)

2. В открывшемся окне выполнить команду **gpedit.msc**

![](https://i.imgur.com/N0663x3.png)

3. Затем переходим по пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Параметры безопасности»** и находим пункт **"Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита"**, включаем его.

![](https://i.imgur.com/eKxKw5L.png)

После того, как все параметры выставлены, закрываем окно.
Расширенный аудит настроен!

4. В открывшемся редакторе групповой политики перейти по пути **«Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Конфигурация расширенной политики аудита – Политики аудита системы»**

![](https://i.imgur.com/gayH4qN.png)

5. Выбираем первую категорию **Вход учетной записи** в данном разделе двойным щелчком мыши открываем подкатегорию **Аудит проверки учетных данных** и выставляем галочки на пункты: **Настроить следующие события аудита:**, **Успех** и **Отказ**.

![](https://i.imgur.com/nP36IzC.png)


6. Аналогичным образом, как в предыдущем пункте, выставляем параметры в соответствии с табличкой ниже

**`X (крестик) - ставим галочку в пункт, 0 (нолик) - галочку ставить не нужно.`**

***Подкатегория аудита***  | ***Аудит успеха*** | ***Аудит отказа*** |
------- | -------- | -------- |
**Вход учетной записи**   
**Аудит проверки учетных данных**   | x | x |
**Аудит службы проверки подлинности Kerberos**   | 0 | 0 |
**Аудит операций с билетами службы Kerberos**   | 0 | 0 |
**Аудит других событий входа учетных записей**   | x | x |
**Управление учетными записями**   
**Аудит управления группами приложений**   | x | 0 |
**Аудит управления учетными записями компьютеров**   | 0 | 0 |
**Аудит управления группами распространения**   | 0 | 0 |
**Аудит других событий управления учетными записями**   | 0 | 0 |
**Аудит управления группами безопасности**   | x | 0 |
**Аудит управления учетными записями пользователей**   | x | x |
**Подробное отслеживание**   
**Аудит активности DPAPI**   | 0 | 0 |
**Аудит активности PNP**   | x | 0 |
**Аудит создания процессов**   | x | 0 |
**Аудит завершения процессов**   | x | 0 |
**Аудит событий RPC**   | 0 | 0 |
**Доступ к DS (службе каталогов)**   
**Аудит подробной репликации службы каталогов**   | x | x |
**Аудит доступа к службе каталогов**   | 0 | 0 |
**Аудит изменения службы каталогов**   | 0 | 0 |
**Аудит репликации службы каталогов**   | 0 | 0 |
**Вход и выход из системы**   
**Аудит блокировки учетных записей**   | 0 | x |
**Аудит заявок пользователей или устройств на доступ**   | 0 | 0 |
**Аудит расширенного режима IPsec**   | 0 | 0 |
**Аудит основного режима IPsec**   | 0 | 0 |
**Аудит быстрого режима IPsec**   | 0 | 0 |
**Аудит выхода из системы**   | x | 0 |
**Аудит входа**   | x | x |
**Аудит сервера политики сети**   | x | x |
**Аудит других событий входа и выхода**   | x | x |
**Аудит специального входа**   | x | 0 |
**Доступ к объектам**   
**Аудит событий, создаваемых приложениями**   | x | x |
**Аудит служб сертификации**   | x | x |
**Аудит сведений об общем файловом ресурсе**   | x | x |
**Аудит общего файлового ресурса**   | x | x |
**Аудит файловой системы**   | x | x |
**Аудит подключения платформы фильтрации**   | 0 | x |
**Аудит отбрасывания пакетов платформой фильтрации**   | 0 | 0 |
**Аудит работы с дескрипторами**   | x | 0 |
**Аудит объектов ядра**   | 0 | 0 |
**Аудит других событий доступа к объектам**   | x | x |
**Аудит реестра**   | x | x |
**Аудит съемного носителя**   | x | x |
**Аудит диспетчера учетных записей безопасности**   | x | x |
**Аудит сверки с централизованной политикой доступа**   | 0 | 0 |
**Изменение политики**   
**Аудит изменения политики аудита**   | x | 0 |
**Аудит изменения политики проверки подлинности**   | x | 0 |
**Аудит изменения политики авторизации**   | x | 0 |
**Аудит изменения политики платформы фильтрации**   | x | x |
**Аудит изменения политики на уровне правил MPSSVC**   | x | x |
**Аудит других событий изменения политики**   | x | x |
**Использование привилегий**   
**Аудит использования привилегий, не затрагивающих конфиденциальные данные**   | 0 | 0 |
**Аудит других событий использования привилегий**   | 0 | 0 |
**Аудит использования привилегий, затрагивающих конфиденциальные данные**   | 0 | 0 |
**Системные функции**   
**Аудит драйвера IPsec**   | x | x |
**Аудит других системных событий**   | x | x |
**Аудит изменения состояния безопасности**   | x | 0 |
**Аудит расширения системы безопасности**   | x | 0 |
**Аудит целостности системы**   | x | x |
**Аудит доступа к глобальным объектам**   
**Файловая система**   | 0 | 0 |
**Реестр**   | 0 | 0 |


***


## Просмотр событий в MaxPatrol SIEM

**Учетные записи для просмотра событий необходимо получать через портал help.orb.ru. Заявку оформлять на отдел кибербезопасности**

1. Для возможности входа в систему мониторинга SIEM (любой компьютер, с которого будет осуществляться вход в систему) необходимо в файл hosts добавить следующие адреса (альтернативный вариант, настройка вашего DNS-сервера, если не используется DNS-правительства):  
<pre><code>
nano /etc/hosts

172.28.100.11	mp10-core.gossopka.local
</pre></code>
*Обращаем внимание, даже если раннее производились настройки файла hosts, необходимо перезаписать его, добавив именно эти адреса!*

2. Теперь вы сможете наблюдать события в SIEM системе по адресу:

**https://mp10-core.gossopka.local**

Готово!
***

**Пожалуйста, сообщите специалистам отдела кибербезопасности о внесенных настройках.**