Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)

KUMA позволяет получать информацию о событиях с устройств Windows с помощью Агента KUMA типа WEC.

Настройка получения событий состоит из следующих этапов:

1. Настройка политик получения событий с устройств Windows.
2. Настройка централизованного получения событий с помощью службы Windows Event Collector.
3. Предоставление прав для просмотра событий.
4. Предоставление прав входа в качестве службы.
5. Настройка коллектора KUMA.
6. Установка коллектора KUMA.
7. Передача в KUMA событий с устройств Windows.

Настройка аудита событий с устройств Windows

Вы можете настроить аудит событий на устройствах Windows как на конкретном устройстве, так и на всех устройствах в домене.

В этом разделе описывается настройка аудита на отдельном устройстве, а также настройка аудита с помощью групповой политики домена.

Настройка политики аудита на устройстве Windows

Чтобы настроить политики аудита на устройстве:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. Перейдите в раздел Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Настройка политики аудита на устройстве завершена.

Настройка аудита с помощью групповой политики

Помимо настройки политики аудита на отдельном устройстве, вы также можете настроить аудит с помощью групповой политики домена.

Чтобы настроить аудит с помощью групповой политики:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Если вы хотите получать журналы Windows c большого количества серверов или если установка агентов KUMA на контроллеры домена не допускается, рекомендуется настроить перенаправление журналов Windows на отдельные серверы с настроенной службой Windows Event Collector.

Настройка политики аудита на сервере или рабочей станции завершена.

Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector

Служба Windows Event Collector позволяет централизованно получать данные о событиях на серверах и рабочих станциях под управлением ОС Windows. С помощью службы Windows Event Collector вы можете подписаться на события, которые регистрируются на удаленных устройствах.

Вы можете настроить следующие типы подписок на события:

• Source-initiated subscriptions. Удаленные устройства отправляют данные о событиях на сервер Windows Event Collector, адрес которого указывается в групповой политике. Подробнее о процедуре настройки подписки см. в разделе Настройка передачи данных с сервера источника событий.
• Collector-initiated subscriptions. Сервер Windows Event Collector подключается к удаленным устройствам и самостоятельно забирает события из локальных журналов. Подробнее о процедуре настройки подписки см. в разделе Настройка сервиса получения событий Windows.

Настройка передачи данных с сервера источника событий

Вы можете получать информацию о событиях на серверах и рабочих станциях, настроив передачу данных с удаленных устройств на сервер Windows Event Collector.

Предварительная подготовка

1. Проверьте, что служба Windows Remote Management настроена на сервере источника событий, выполнив следующую команду в консоли PowerShell:

   winrm get winrm/config

   Если служба Windows Remote Management не настроена, инициализируйте ее, выполнив следующую команду:

   winrm quickconfig

2. Если сервер источника событий является контроллером домена, откройте доступ по сети к журналам Windows, выполнив следующую команду в консоли PowerShell, запущенной от имени администратора:

   wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

   Проверьте наличие доступа, выполнив следующую команду:

   wevtutil get-log security

Настройка брандмауэра сервера источника событий

Для того чтобы сервер Windows Event Collector мог получать записи журналов Windows, требуется открыть порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос wf.msc и нажмите OK.

   Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

3. Перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

   Откроется Мастер создания правила для нового входящего пользователя.

4. На шаге Тип правила выберите Для порта.
5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
   • 5985 (для доступа по HTTP)
   • 5986 (для доступа по HTTPS)

   Вы можете указать один из портов или оба.

6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
7. На шаге Профиль снимите флажки Частный и Публичный.
8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Сервер Windows Event Collector должен обладать правами для чтения журналов Windows на сервере источника событий. Права могут быть предоставлены как учетной записи сервера Windows Event Collector, так и специальной пользовательской учетной записи. Подробнее о предоставлении прав см. в разделе Предоставление прав пользователю для просмотра журнала событий Windows.

Настройка сервиса получения событий Windows

Сервер Windows Event Collector может самостоятельно подключаться к устройствам и забирать данные о событиях любого уровня важности.

Чтобы настроить получение данных о событиях сервером Windows Event Collector:

1. На сервере-источнике событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос services.msc и нажмите OK.

   Откроется окно Службы.

3. В списке служб найдите службу Сборщик событий Windows и запустите ее.
4. Откройте оснастку Просмотр событий, выполнив следующие действия:
   1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
   2. В открывшемся окне введите запрос eventvwr и нажмите OK.
5. Перейдите в раздел Подписки и в панели Действия нажмите Создать подписку.
6. В открывшемся окне Свойства подписки задайте имя и описание подписки, а также следующие параметры:
   1. В поле Конечный журнал выберите из списка Перенаправленные события.
   2. В разделе Тип подписки и исходные компьютеры нажмите на кнопку Выбрать компьютеры.
   3. В открывшемся окне Компьютеры нажмите на кнопку Добавить доменный компьютер.

      Откроется окно Выбор: "Компьютер".

   4. В поле Введите имена выбираемых объектов (примеры) перечислите имена устройств, с которых вы хотите получать информацию о событиях. Нажмите ОК.
   5. В окне Компьютеры проверьте список устройств, с которых сервер Windows Event Collector будет забирать данные о событиях и нажмите ОК.
   6. В окне Свойства подписки в поле Собираемые события нажмите на кнопку Выбрать события.
   7. В открывшемся окне Фильтр запроса укажите, как часто и какие данные о событиях на устройствах вы хотите получать.
   8. При необходимости в поле <Все коды событий> перечислите коды событий, информацию о которых вы хотите или не хотите получать. Нажмите ОК.
7. Если вы хотите использовать специальную учетную запись для просмотра данных о событиях, выполните следующие действия:
   1. В окне Свойства подписки нажмите на кнопку Дополнительно.
   2. В открывшемся окне Дополнительные параметры подписки в настройках учетной записи пользователя выберите Определенный пользователь.
   3. Нажмите на кнопку Пользователь и пароль и задайте учетные данные выбранного пользователя.

Настройка сервиса получения событий завершена.

Чтобы проверить, что настройка выполнена правильно и данные о событиях поступают на сервер Windows Event Collector,

в оснастке Просмотр событий перейдите в раздел Просмотр событий (Локальный) → Журналы Windows → Перенаправленные события.

Предоставление прав для просмотра событий Windows

Вы можете предоставить права для просмотра событий Windows как для конкретного устройства, так и для всех устройств в домене.

Чтобы предоставить права для просмотра событий на конкретном устройстве:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос compmgmt.msc и нажмите OK.

   Откроется окно Управление компьютером.

3. Перейдите в раздел Управление компьютером (локальным) → Локальные пользователи и группы → Группы.
4. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
5. Внизу окна Свойства: Читатели журнала событий нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Чтобы предоставить права для просмотра событий всех устройств в домене:

1. Зайдите в контроллер домена с правами администратора.
2. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
3. В открывшемся окне введите запрос dsa.msc и нажмите OK.

   Откроется окно Active Directory Пользователи и Компьютеры.

4. Перейдите в раздел Active Directory Пользователи и Компьютеры → <Имя домена> → Builtin.
5. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.

   В окне Свойства: Читатели журнала событий откройте вкладку Члены и нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Предоставление прав входа в качестве службы

Вы можете предоставить право на вход в систему в качестве службы как конкретному устройству, так и всем устройствам в домене. Право входа в систему в качестве службы позволяет запустить процесс от имени учетной записи, которой это право предоставлено.

Чтобы предоставить право на вход в качестве службы устройству:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. Перейдите в раздел Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить Пользователя или Группу.

   Откроется окно Выбор пользователей или групп.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена учетных записей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Чтобы предоставить право на вход в качестве службы устройствам в домене:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить Пользователя или Группу.

   Откроется окно Выбор пользователей или групп.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Настройка коллектора KUMA для получения событий с устройств Windows

После завершения настройки политики аудита на устройствах, а также создания подписок на события и предоставления всех необходимых прав, требуется создать коллектор в веб-интерфейсе KUMA для событий с устройств Windows.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

Для получения событий от устройств Windows в мастере установки коллектора KUMA укажите следующие параметры коллектора:

1. На шаге Транспорт укажите следующие параметры:
   1. В поле Коннектор выберите Создать.
   2. В поле Тип выберите http.
   3. В поле Разделитель выберите \0.
2. На вкладке Дополнительные параметры в поле Режим TLS выберите С верификацией.
3. На шаге Парсинг событий нажмите на кнопку Добавить парсинг событий.
4. В открывшемся окне Основной парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products и нажмите ОК.
5. На шаге Маршрутизация добавьте следующие точки назначения:
   • Хранилище. Для отправки обработанных событий в хранилище.
   • Коррелятор. Для отправки обработанных событий в коррелятор.

   Если точки назначения Хранилище и Коррелятор не добавлены, создайте их

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду для установки коллектора KUMA.

Установка коллектора KUMA для получения событий с устройств Windows

После завершения настройки коллектора для получения событий Windows требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)

Чтобы завершить настройку передачи данных, требуется создать агент KUMA типа WEC, а затем установить его на устройстве, с которого вы хотите получать информацию о событиях.

Подробнее о создании и установке агента KUMA типа WEC на устройства Windows см. в разделе Передача в KUMA событий с устройств Windows.