Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)

KUMA позволяет получать информацию о событиях с устройств Windows с помощью Агента KUMA типа WMI.

Настройка получения событий состоит из следующих этапов:

1. Настройка параметров аудита для работы с KUMA.
2. Настройка передачи данных с сервера источника событий.
3. Предоставление прав для просмотра событий.
4. Предоставление прав входа в качестве службы.
5. Создание коллектора KUMA.

   Для получения событий от устройств Windows в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products.

6. Установка коллектора KUMA.
7. Передача в KUMA событий с устройств Windows.

   Чтобы завершить настройку передачи данных, требуется создать агент KUMA типа WMI, а затем установить его на устройстве, с которого вы хотите получать информацию о событиях.

Настройка параметров аудита для работы с KUMA

Вы можете настроить аудит событий на устройствах Windows как на конкретном устройстве с помощью локальной политики, так и на всех устройствах в домене с помощью групповой политики.

В этом разделе описывается настройка аудита на отдельном устройстве, а также настройка аудита с помощью групповой политики домена.

Настройка аудита с помощью локальной политики

Чтобы настроить аудит с помощью локальной политики:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. Перейдите в раздел Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Настройка политики аудита на устройстве завершена.

Настройка аудита с помощью групповой политики

Помимо настройки аудита на отдельном устройстве вы также можете настроить аудит с помощью групповой политики домена.

Чтобы настроить аудит с помощью групповой политики:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Настройка политики аудита на сервере или рабочей станции завершена.

Настройка передачи данных с сервера источника событий

Предварительная подготовка

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос services.msc и нажмите OK.

   Откроется окно Службы.

3. В списке служб найдите следующие службы:
   • Удаленный вызов процедур
   • Сопоставитель конечных точек RPC
4. Убедитесь, что в графе Состояние у этих служб отображается статус Выполняется.

Настройка брандмауэра сервера источника событий

Сервер Windows Management Instrumentation может получать записи журналов Windows, если открыты порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос wf.msc и нажмите OK.

   Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

3. В окне Монитор брандмауэра Защитника Windows в режиме повышенной безопасности перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

   Откроется Мастер создания правила для нового входящего подключения.

4. В Мастере создания правила для нового входящего подключения на шаге Тип правила выберите Для порта.
5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
   • 135
   • 445
   • 49152-65535
6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
7. На шаге Профиль снимите флажки Частный и Публичный.
8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Предоставление прав для просмотра событий Windows

Вы можете предоставить права для просмотра событий Windows как для конкретного устройства, так и для всех устройств в домене.

Чтобы предоставить права для просмотра событий на конкретном устройстве:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос compmgmt.msc и нажмите OK.

   Откроется окно Управление компьютером.

3. Перейдите в раздел Управление компьютером (локальным) → Локальные пользователи и группы → Группы.
4. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
5. Внизу окна Свойства: Читатели журнала событий нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Чтобы предоставить права для просмотра событий всех устройств в домене:

1. Зайдите в контроллер домена с правами администратора.
2. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
3. В открывшемся окне введите запрос dsa.msc и нажмите OK.

   Откроется окно Active Directory Пользователи и Компьютеры.

4. В окне Active Directory Пользователи и Компьютеры перейдите в раздел Active Directory Пользователи и Компьютеры → <Имя домена> → Builtin.
5. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.

   В окне Свойства: Читатели журнала событий откройте вкладку Члены и нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В окне Выбор пользователя, компьютера или группы в поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Предоставление прав входа в качестве службы

Вы можете предоставить право на вход в систему в качестве службы как конкретному устройству, так и всем устройствам в домене. Право входа в систему в качестве службы позволяет запустить процесс от имени учетной записи, которой это право предоставлено.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Чтобы предоставить право на вход в качестве службы устройству:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. В окне Локальная политика безопасности перейдите в раздел Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить пользователя или группу.

   Откроется окно Выбор "Пользователи или "Группы".

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена учетных записей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Чтобы предоставить право на вход в качестве службы устройствам в домене:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить пользователя или группу.

   Откроется окно Выбор "Пользователи или "Группы".

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.