Подключение с помощью Агента журнала событий Windows (WMI)

Подключение нового WMI-агента

Предварительные условия:

  • На узле-источнике (машине под управлением Windows) скопирован файл WMI-агента и конфигурационный файл

  • Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

  • Наличие лицензии (разрешения) на использование WMI агента (см. Обзор графического интерфейса → О программе → Информация о программе)

  • WMI-агент работает с Windows Server 2012 / 2016 / 2019 / 2022. Использовать более старые версии крайне не рекомендуется.

  • Работа WMI-агента была успешно протестирована на Windows 10 64-bit, рекомендуется использовать аналогичную версию ОС

Для установки WMI-агента на определенный узел, необходимо:

  1. На узле создать директорию, в которую нужно переместить исполняемый файл wmi-agent.exe и конфигурационный файл wmi-agent.yaml из дистрибутива KOMRAD

  2. В файле wmi-agent.yaml в параметре bus-url задать IP-адрес сервера KOMRAD:

bus:
       servers:
       - nats://IP_KOMRAD:3490

  1. Запустить консоль PowerShell от имени администратора Win+X → Windows PowerShell (от администратора)

  2. Сменить текущую директорию на папку с WMI-агентом:

    Set-Location -Path директория_с_WMI_агентом

  3. Установить WMI-агент в качестве службы с помощью следующей команды:

    .\wmi-agent.exe --service install -c .\wmi-agent.yaml

    После данной команды в «Службы» появится WMI-агент под названием «Komrad WMI Agent»

  4. Скопируйте client-key.pem client.pem ca.pem и поместите их в папку C:\Program Files\Echelon\komrad\certs.

Сертификаты расположены на машине с KOMRAD в каталоге /var/lib/echelon/komrad/certs

  1. Запустить службу WMI-агента с помощью следующей команды:

    .\wmi-agent.exe --service start -c .\wmi-agent.yaml

  2. Новый WMI-агент отобразится в списке коллекторов в веб-интерфейсе

  3. Зайдите в появившийся коллектор и укажите журналы для сбора и уровень логирования событий, чтобы события начали появляться в системе

Подключение новых источников событий

Предварительные условия:

  • убедиться, что существует возможность сетевого взаимодействия между KOMRAD и источником событий (можно воспользоваться командой «ping»)

Расположение: Администрирование → Настройка коллекторов → Коллекторы → Агент журнала событий Windows (WMI)

Действия:

1) Открыть в веб-интерфейсе KOMRAD вкладку Администрирование → Настройки коллекторов → Коллекторы → Агент журнала событий Windows (WMI), в котором появился новый экземпляр WMI-агента под стандартным названием wmi

2) С помощью кнопки «Редактировать» при необходимости задайте название коллектора

3) Включите только необходимые журналы из всех, что представлены на странице — это поможет снизить поток событий

Внимание! Для корректной работы нового журнала необходимо в названии указать полное имя этого журнала, например, Microsoft-Windows-Windows Defender/Operational. Постарайтесь не ошибиться, т.к. переименовать/удалить ошибку в дальнейшем будет невозможно.
Посмотреть полное имя журнала в Windows можно так: откройте "Просмотр событий" → Найдите необходимый вам журнал приложения или службы → Кликните правой кнопкой мыши → Свойства → в графе "Полное имя" вы увидите полное имя журнала, как на скриншоте ниже.
Полное имя журнала

4) Включите агент, нажав на кнопку «Включить»

5) На узле-источнике убедитесь, что события регистрируются в оснастке «Управление компьютером» (compmgmt.msc) в «Просмотре событий»

6) Для просмотра событий, поступающих от подключенного источника в KOMRAD, перейдите на дашборд событий в реальном времени События → События в реальном времени

Дополнительно:

  1. У WMI-агента есть возможность собирать события об изменении локальных файлов. Чтобы настроить передачу логов необходимо зайти в "Администрирование" → "Настройка коллекторов" → "Агент журнала событий Windows (WMI)" → "Файлы" → добавить новый файл "+" → указать полный путь к отслеживаемому файлу с его расширением → проверить и сохранить новое подключение → перезагрузить коллектор.

Важно помнить, что WMI-агент не может мониторить папки и не будет отслеживать файл, если его переместить

  1. WMI-агент можно удалить из служб с помощью следующих команд:

    .\wmi-agent.exe --service stop -c .\wmi-agent.yaml
.\wmi-agent.exe --service uninstall -c .\wmi-agent.yaml

  2. Рабочим каталогом запущенной службы является специальный системный каталог C:\Program Files\Echelon\komrad\wmi-agent

Заполнение журнала Forwarded Events на Windows Server для получения событий WMI

Предварительные условия:

  1. Имеется Windows Server 2016 / 2019

  2. Имеется машина на ОС Windows, которая будет выступать в роли источника событий

  3. На обеих машинах должны быть полностью отключены брандмауэры

Порядок выполняемых действий:

1) Настроить статический IP на сервере по примеру ниже:

IP адрес: выбранный IP

Маска: 192.168.0.1

Шлюз: 10.0.4.1 / 10.0.1.1 (в зависимости от подсети, в которой находится машина)

DNS-сервер: 10.0.1.1 (в момент тестирования был установлен такой адрес в поле DNS-сервера)

2) На Windows Server развернуть Active Directory:

В Диспетчере серверов выбрать "Добавить роли и компоненты";

Во вкладке "Роли сервера" отметить ""Доменные службы Active Directory";

В остальных вкладках всё оставить по умолчанию.

Если на этапе установки AD выдаётся ошибка, то необходимо изменить пароль у администратора домена (учетная запись: "Администратор")

3) Повысить роль сервера до уровня контроллера домена:

  • Добавить новый лес доменных имён

  • Пропустить делегирование DNS

В остальных окнах заполнить необходимые поля, связанные с именами / паролями и перейти к установке.

4) Во вкладке "Пользователи и компьютеры" добавить нового пользователя, под которым будет осуществляться вход в домен другими компьютерами. Включить пользователя в группу "Администраторы домена"

5) Машину-источник Windows вводим в созданный домен при помощи созданной в предыдущем шаге учётной записи

6) В настройках сети машины-источника в поле DNS указать адрес машины Windows Server

7) Настраиваем отправку событий из журнала, например, Security у источника (здесь, либо здесь пошаговые гайды при необходимости)

8) После создания подписки на сервере дать права на чтение журналов локальным админам:

  • В "Просмотре событий" открыть свойства журнала

  • Скопировать Полное имя журнала

  • С помощью cmd дать права на чтение командой:

wevtutil set-log EventLogFullName /ca:O:BAG:SYD:(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) , где EventLogFullName - полное имя журнала.

9) Убедиться в том, что на Windows Server в журнале "Перенаправленные события" появилось событие. Для получения большего количества событий перезагрузить машину-источник

Если события долго не приходят, то на машине-источнике нужно перейти в Службы и перезапустить Службу удалённого управления Windows (WS-Management)

10) На Windows Server установить WMI-агента для отправки события на KOMRAD (в конфиге прописан адрес стенда KOMRAD)

11) На UI (интерфейс KOMRAD) включить добавленный WMI-агент

12) В интерфейсе коллектора настроить журнал ForwardedEvents

13) Нажать "Сохранить" журнал

14) Включить сбор событий через переключатель.

15) Убедиться, что во вкладке "События в реальном времени" появились события из журнала ForwardedEvents.

Пример
WEC можно подключить к KOMRAD только без установки службы. Используйте команду:`.\wmi-agent.exe -c .\wmi-agent.yaml`

Если после смены IP-адреса WMI-агент перестал работать, то одним из возможных вариантов решения проблемы может быть очистка папки с логами.

Перейдите по пути C:\Program Files\Echelon\komrad\wmi-agent и удалите содержимое папок wal и storage

 
В этой папке `C:\Windows\System32\config\systemprofile\AppData\Local\komrad\komrad-wmi-agent\offsets` хранится состояние агента.

Последнее изменение 07.06.2023