Подключение с помощью Агента журнала событий Windows (WMI)
Подключение нового WMI-агента
Предварительные условия:
-
На узле-источнике (машине под управлением Windows) скопирован файл WMI-агента и конфигурационный файл.
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером ПК «КОМРАД».
-
Наличие лицензии (разрешения) на использование WMI агента (см. Обзор графического интерфейса → О программе → Информация о программе)
-
WMI-agent работает с Windows Server 2012 / 2016 / 2019 / 2022. Использовать более старые версии крайне не рекомендуется.
-
Работа WMI-агента была успешно протестирована на Windows 10 64-bit, рекомендуется использовать аналогичную версию ОС.
Для установки WMI-агента на определенный узел, необходимо:
-
На узле создать директорию, в которую нужно переместить исполняемый файл
wmi-agent.exe
и конфигурационный файлwmi-agent.yaml
из дистрибутива ПК «КОМРАД»; -
В файле
wmi-agent.yaml
в параметре bus-url задать IP-адрес сервера ПК «КОМРАД»:
bus: servers: - nats://IP_КОМРАДА:3490
-
Запустить консоль PowerShell от имени администратора Win+X → Windows PowerShell (от администратора);
-
Сменить текущую директорию на папку с WMI-агентом:
Set-Location -Path директория_с_WMI_агентом
-
Установить WMI-агент в качестве службы с помощью следующей команды:
.\wmi-agent.exe --service install -c .\wmi-agent.yaml
После данной команды в «Службы» появится WMI-агент под названием «Komrad WMI Agent»;
-
Скопируйте
client-key.pem
client.pem
ca.pem
и поместите их в папкуC:\Program Files\Echelon\komrad\certs
-
Запустить службу WMI-агента с помощью следующей команды:
.\wmi-agent.exe --service start -c .\wmi-agent.yaml
-
Новый WMI-агент отобразится в списке коллекторов в веб-интерфейсе;
-
Зайдите в появившийся коллектор и укажите журналы для сбора и уровень логирования событий, чтобы события начали появляться в системе.
Подключение новых источников событий
Предварительные условия:
-
убедиться, что существует возможность сетевого взаимодействия между KOMRAD SIEM и источником событий (можно воспользоваться командой «ping»)
Расположение: Администрирование → Настройка коллекторов → Коллекторы → Агент журнала событий Windows (WMI)
Действия:
1) Открыть в веб-интерфейсе ПК «КОМРАД» вкладку Администрирование → Настройка коллекторов → Коллекторы → Агент журнала событий Windows (WMI), в котором появился новый экземпляр WMI-агента под стандартным названием wmi;
2) С помощью кнопки «Редактировать» при необходимости задайте название коллектора;
3) Включите только необходимые журналы из всех, что представлены на странице, — это поможет снизить поток событий;
Внимание! Для корректной работы нового журнала необходимо в названии указать полное имя этого журнала, например, Microsoft-Windows-Windows Defender/Operational . Постарайтесь не ошибиться, т.к. переименовать/удалить ошибку в дальнейшем будет невозможно.
|
Посмотреть полное имя журнала в Windows можно так: откройте "Просмотр событий" → Найдите необходимый вам журнал приложения или службы → Кликните правой кнопкой мыши → Свойства → в графе "Полное имя" вы увидите полное имя журнала, как на скриншоте ниже. |

4) Включите агент, нажав на кнопку «Включить»;
5) На узле-источнике убедитесь, что события регистрируются в оснастке «Управление компьютером» (compmgmt.msc) в «Просмотре событий»;
6) Для просмотра событий, поступающих от подключенного источника в ПК «КОМРАД», перейдите на дашборд событий в реальном времени События → События в реальном времени.
Дополнительно:
-
У WMI-агента есть возможность собирать локальные файлы, для этого необходимо зайти в Администрирование → Настройка коллекторов → Агент журнала событий Windows (WMI) → Файлы и указать полный путь к файлу с его расширением
-
WMI-агент можно удалить из служб с помощью следующих команд:
.\wmi-agent.exe --service stop -c .\wmi-agent.yaml .\wmi-agent.exe --service uninstall -c .\wmi-agent.yaml
-
Рабочим каталогом запущенной службы является специальный системный каталог
C:\Program Files\Echelon\komrad\wmi-agent
Заполнение журнала Forwarded Events на Windows Server для получения событий WMI
Предварительные условия:
-
Имеется Windows Server 2016 / 2019;
-
Имеется машина на ОС Windows, которая будет выступать в роли источника событий;
-
На обеих машинах должны быть полностью отключены брандмауэры.
Порядок выполняемых действий:
1) Настроить статический IP на сервере по примеру ниже:
IP адрес: выбранный IP Маска: 192.168.0.1 Шлюз: 10.0.4.1 / 10.0.1.1 (в зависимости от подсети, в которой находится машина) DNS-сервер: 10.0.1.1 (в момент тестирования был установлен такой адрес в поле DNS-сервера)
2) На Windows Server развернуть Active Directory:
В Диспетчере серверов выбрать "Добавить роли и компоненты";
Во вкладке "Роли сервера" отметить ""Доменные службы Active Directory";
В остальных вкладках всё оставить по умолчанию.
Если на этапе установки AD выдаётся ошибка, то необходимо изменить пароль у администратора домена (учетная запись: "Администратор") |
3) Повысить роль сервера до уровня контроллера домена:
Добавить новый лес доменных имён;
Пропустить делегирование DNS;
В остальных окнах заполнить необходимые поля, связанные с именами / паролями и перейти к установке.
4) Во вкладке "Пользователи и компьютеры" добавить нового пользователя, под которым будет осуществляться вход в домен другими компьютерами. Включить пользователя в группу "Администраторы домена".
5) Машину-источник Windows вводим в созданный домен при помощи созданной в предыдущем шаге учётной записи.
6) В настройках сети машины-источника в поле DNS указать адрес машины Windows Server.
7) Настраиваем отправку событий из журнала, например, Security у источника (здесь, либо здесь пошаговые гайды при необходимости)
8) После создания подписки на сервере дать права на чтение журналов локальным админам:
В "Просмотре событий" открыть свойства журнала;
Скопировать Полное имя журнала;
С помощью cmd
дать права на чтение командой:
wevtutil set-log EventLogFullName /ca:O:BAG:SYD:(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) , где EventLogFullName - полное имя журнала.
9) Убедиться в том, что на Windows Server в журнале "Перенаправленные события" появилось событие. Для получения большего количества событий перезагрузить машину-источник.
Если события долго не приходят, то на машине-источнике нужно перейти в Службы и перезапустить Службу удалённого управления Windows (WS-Management). |
10) На Windows Server установить WMI-агента для отправки события на KOMRAD (в конфиге прописан адрес стенда KOMRAD).
11) На UI (интерфейс KOMRAD) включить добавленный WMI-агент.
12) В интерфейсе коллектора настроить журнал ForwardedEvents
.
13) Нажать "Сохранить" журнал.
14) Включить сбор событий через переключатель.
15) Убедиться, что во вкладке "События в реальном времени" появились события из журнала ForwardedEvents.

WEC можно подключить к Комраду только без установки службы. Используйте команду:`.\wmi-agent.exe -c .\wmi-agent.yaml` |
Если после смены IP-адреса WMI-агент перестал работать, то одним из возможных вариантов решения проблемы может быть очистка папки с логами. Перейдите по пути |
В этой папке `C:\Windows\System32\config\systemprofile\AppData\Local\komrad\komrad-wmi-agent\offsets` хранится состояние агента.