Информация об источнике

Общая информация

Windows Events содержат логи, генерируемые встроенной системой аудита Windows, отражающие действия пользователей, процессов и служб.

Типы собираемых событий

Зависит от настроенной политики аудита WIndows, см. раздел Настройка политики аудита Windows через GPO

Способ интеграции

<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

Существует несколько способов передачи журналов Windows в SIEM или SOC — например, через агентов (например, Winlogbeat, NXLog, Splunk UF), WMI-запросы.

Рекомендуется использовать способ через Windows Event Collector (WEC) в доменной инфраструктуре (MS AD), такой подход позволяет собирать данные централизованно без установки дополнительного ПО, средcтвами Windows (через WMI).

</aside>

Сбор событий Windows с использованием Windows Event Collector (WEC) позволяет централизованно собирать события с множества устройств Windows в сети. В основе данного способа лежит технология Windows Event Forwarding (WEF), которая обеспечивает передачу событий с источников (рабочие станции и серверы) на центральный сервер-коллектор (WEC). Этот подход упрощает мониторинг и управление событиями в масштабах всей сети, обеспечивая единую точку сбора данных.

Сбор событий Windows Event Log централизованно в инфраструктуре AD режим - Source-initiated subscriptions

Компоненты схемы:

• Источники событий - рабочие станции и серверы Windows;

• Windows Event Collector - сервер, с запущенной службой Windows Event Collector (Сборщик событий Windows) - WEC. WEC на основании создаваемых подписок на события получает их от источников и обеспечивает локальное хранение. Взаимодействие между WEC-сервером и источниками событий осуществляется с использованием протокола удаленного управления Windows (WS-Management protocol) - WinRM;

  Для настройки доступно два типа подписок:

  • [Рекомендуется] Source-initiated subscriptions - события отправляются источником. Источники настраиваются на отправку событий на WEC-сервер с помощью GPO.
  • Collector-initiated subscriptions - события собираются WEC-сервером самостоятельно. WEC-сервер подключается к рабочим станциям/серверам и забирает события из локальных журналов.

• Event Collector - система сбора и анализа событий (например, SIEM), может забирать события централизовано через агент на Windows Event Collector или через подключение по WMI к нему;

<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

Рекомендуется использовать Source-initiated subscriptions, в этом режиме порт для взаимодействия открывается на одном сервере - Windows Event Collector, а другие машины в инфраструктуре подключаются к нему. В ином случае - необходимо открывать доступ ко всем Windows-хостам в инфраструктуре от Windows Event Collector - это менее удобно и менее базопасно.

В данной инструкции рассматривается настройка для Source-initiated subscriptions.

</aside>

Примеры событий

Step by step

Подготовка сервера для Windows Event Collector

<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

• Документация на сайте вендора:
  • https://learn.microsoft.com/en-us/windows/win32/wec/windows-event-collector
  • https://learn.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance
  • https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/use-windows-event-forwarding-to-assist-in-intrusion-detection </aside>

Технические требования