Подключение с помощью Агента журнала событий Windows (WMI)

Подключение нового WMI-агента

Предварительные условия:

  • На узле-источнике (машине под управлением Windows) скопирован файл WMI-агента и конфигурационный файл.

  • Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером ПК «КОМРАД».

  • Наличие лицензии (разрешения) на использование WMI агента (см. Обзор графического интерфейса → О программе → Информация о программе)

  • WMI-agent работает с Windows Server 2012 / 2016 / 2019 / 2022. Использовать более старые версии крайне не рекомендуется.

  • Работа WMI-агента была успешно протестирована на Windows 10 64-bit, рекомендуется использовать аналогичную версию ОС.

Для установки WMI-агента на определенный узел, необходимо:

  1. На узле создать директорию, в которую нужно переместить исполняемый файл wmi-agent.exe и конфигурационный файл wmi-agent.yaml из дистрибутива ПК «КОМРАД»;

  2. В файле wmi-agent.yaml в параметре bus-url задать IP-адрес сервера ПК «КОМРАД»:

bus:
       servers:
       - nats://IP_КОМРАДА:3490

  1. Запустить консоль PowerShell от имени администратора Win+X → Windows PowerShell (от администратора);

  2. Сменить текущую директорию на папку с WMI-агентом:

    Set-Location -Path директория_с_WMI_агентом

  3. Установить WMI-агент в качестве службы с помощью следующей команды:

    .\wmi-agent.exe --service install -c .\wmi-agent.yaml

    После данной команды в «Службы» появится WMI-агент под названием «Komrad WMI Agent»;

  4. Запустить службу WMI-агента с помощью следующей команды:

    .\wmi-agent.exe --service start -c .\wmi-agent.yaml

  5. Новый WMI-агент отобразится в списке коллекторов в веб-интерфейсе;

  6. Зайдите в появившийся коллектор и укажите журналы для сбора и уровень логирования событий, чтобы события начали появляться в системе.

Подключение новых источников событий

Предварительные условия:

  • убедиться, что существует возможность сетевого взаимодействия между KOMRAD SIEM и источником событий (можно воспользоваться командой «ping»)

Расположение: Администрирование → Настройка коллекторов → Коллекторы → Агент журнала событий Windows (WMI)

Действия:

1) Открыть в веб-интерфейсе ПК «КОМРАД» вкладку Администрирование → Настройка коллекторов → Коллекторы → Агент журнала событий Windows (WMI), в котором появился новый экземпляр WMI-агента под стандартным названием wmi;

2) С помощью кнопки «Редактировать» при необходимости задайте название коллектора;

3) Включите только необходимые журналы из всех, что представлены на странице, — это поможет снизить поток событий;

Внимание! Для корректной работы нового журнала необходимо в названии указать полное имя этого журнала, например, Microsoft-Windows-Windows Defender/Operational. Постарайтесь не ошибиться, т.к. переименовать/удалить ошибку в дальнейшем будет невозможно.
Посмотреть полное имя журнала в Windows можно так: откройте "Просмотр событий" → Найдите необходимый вам журнал приложения или службы → Кликните правой кнопкой мыши → Свойства → в графе "Полное имя" вы увидите полное имя журнала, как на скриншоте ниже.
Полное имя журнала

4) Включите агент, нажав на кнопку «Включить»;

5) На узле-источнике убедитесь, что события регистрируются в оснастке «Управление компьютером» (compmgmt.msc) в «Просмотре событий»;

6) Для просмотра событий, поступающих от подключенного источника в ПК «КОМРАД», перейдите на дашборд событий в реальном времени События → События в реальном времени.

Дополнительно:

  1. У WMI-агента есть возможность собирать локальные файлы, для этого необходимо зайти в Администрирование → Настройка коллекторов → Агент журнала событий Windows (WMI) → Файлы и указать полный путь к файлу с его расширением

  2. WMI-агент можно удалить из служб с помощью следующих команд:

    .\wmi-agent.exe --service stop -c .\wmi-agent.yaml
.\wmi-agent.exe --service uninstall -c .\wmi-agent.yaml

  3. Рабочим каталогом запущенной службы будет специальный системный каталог C:\Program Files\Echelon\komrad\wmi-agent, в котором создается рабочая версия конфигурационного файла на основе изначального файла конфигурации.
    Конфигурационный файл можно перезаписать и затем выполнить следующие команды:

    .\wmi-agent.exe --service stop -c .\wmi-agent.yaml
.\wmi-agent.exe --service start -c .\wmi-agent.yaml

Заполнение журнала Forwarded Events на Windows Server для получения событий WMI

Предварительные условия:

  1. Имеется Windows Server 2016 / 2019;

  2. Имеется машина на ОС Windows, которая будет выступать в роли источника событий;

  3. На обеих машинах должны быть полностью отключены брандмауэры.

Порядок выполняемых действий:

1) Настроить статический IP на сервере по примеру ниже:

IP адрес: выбранный IP

Маска: 192.168.0.1

Шлюз: 10.0.4.1 / 10.0.5.1 (в зависимости от подсети, в которой находится машина)

DNS-сервер: 10.0.5.1 (в момент тестирования был установлен такой адрес в поле DNS-сервера)

2) На Windows Server развернуть Active Directory:

В Диспетчере серверов выбрать "Добавить роли и компоненты";

Во вкладке "Роли сервера" отметить ""Доменные службы Active Directory";

В остальных вкладках всё оставить по умолчанию.

Если на этапе установки AD выдаётся ошибка, то необходимо изменить пароль у администратора домена (учетная запись: "Администратор")

3) Повысить роль сервера до уровня контроллера домена:

Добавить новый лес доменных имён;

Пропустить делегирование DNS;

В остальных окнах заполнить необходимые поля, связанные с именами / паролями и перейти к установке.

4) Во вкладке "Пользователи и компьютеры" добавить нового пользователя, под которым будет осуществляться вход в домен другими компьютерами. Включить пользователя в группу "Администраторы домена".

5) Машину-источник Windows вводим в созданный домен при помощи созданной в предыдущем шаге учётной записи.

6) В настройках сети машины-источника в поле DNS указать адрес машины Windows Server.

7) Настраиваем отправку событий из журнала, например, Security у источника (здесь, либо здесь пошаговые гайды при необходимости)

8) После создания подписки на сервере дать права на чтение журналов локальным админам:

В "Просмотре событий" открыть свойства журнала;

Скопировать Полное имя журнала;

С помощью cmd дать права на чтение командой:

wevtutil set-log EventLogFullName /ca:O:BAG:SYD:(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) , где EventLogFullName - полное имя журнала.

9) Убедиться в том, что на Windows Server в журнале "Перенаправленные события" появилось событие. Для получения большего количества событий перезагрузить машину-источник.

Если события долго не приходят, то на машине-источнике нужно перейти в Службы и перезапустить Службу удалённого управления Windows (WS-Management).

10) На Windows Server установить WMI-агента для отправки события на KOMRAD (в конфиге прописан адрес стенда KOMRAD).

11) На UI (интерфейс KOMRAD) включить добавленный WMI-агент.

12) В интерфейсе коллектора настроить журнал ForwardedEvents.

13) Нажать "Сохранить" журнал.

14) Включить сбор событий через переключатель.

15) Убедиться, что во вкладке "События в реальном времени" появились события из журнала ForwardedEvents.

Пример
WEC можно подключить к Комраду только без установки службы. Используйте команду:`.\wmi-agent.exe -c .\wmi-agent.yaml`

Если после смены IP-адреса WMI-агент перестал работать, то одним из возможных вариантов решения проблемы может быть очистка папки с логами.

Перейдите по пути C:\Program Files\Echelon\komrad\wmi-agent и удалите содержимое папок wal и storage.