Подключение с помощью Агента журнала событий Windows (WMI)

Подключение нового WMI-агента

Предварительные условия:

• На узле-источнике (машине под управлением Windows) скопирован файл WMI-агента и конфигурационный файл
• Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
• Наличие лицензии (разрешения) на использование WMI-агента (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о программе)
• WMI-агент работает с Windows Server 2012 / 2016 / 2019 / 2022. Использовать более старые версии крайне не рекомендуется.
• Работа WMI-агента была успешно протестирована на Windows 10 64-bit, рекомендуется использовать аналогичную версию ОС

Для установки WMI-агента на определенный узел, необходимо:

1. На узле создать директорию, в которую нужно переместить исполняемый файл wmi-agent.exe и конфигурационный файл wmi-agent.yaml из дистрибутива KOMRAD

2. В файле wmi-agent.yaml в параметре bus-url задать IP-адрес сервера KOMRAD:

   bus:
          servers:
          - nats://IP_KOMRAD:3490

3. Запустить консоль PowerShell от имени администратора Win+X ⇒ Windows PowerShell (от администратора)

4. Сменить текущую директорию на папку с WMI-агентом:

   Set-Location -Path директория_с_WMI_агентом

5. Установить WMI-агент в качестве службы с помощью следующей команды:

   .\wmi-agent.exe --service install -c .\wmi-agent.yaml

   После данной команды в «Службы» появится WMI-агент под названием Komrad WMI Agent

6. Скопируйте client-key.pem client.pem ca.pem и поместите их в папку

   C:\Program Files\Echelon\komrad\certs.

   подсказка

   Сертификаты расположены на машине с KOMRAD в каталоге /var/lib/echelon/komrad/certs

7. Запустить службу WMI-агента с помощью следующей команды:

   .\wmi-agent.exe --service start -c .\wmi-agent.yaml

8. Новый WMI-агент отобразится в списке коллекторов в веб-интерфейсе

9. Зайдите в появившийся коллектор и укажите журналы для сбора и уровень логирования событий, чтобы события начали появляться в системе

Подключение новых источников событий

Предварительные условия:

• убедиться, что существует возможность сетевого взаимодействия между KOMRAD и источником событий (можно воспользоваться командой ping)

Расположение: manage ⇒ Настройка коллекторов ⇒ Коллекторы ⇒ Агент журнала событий Windows (WMI)

Действия:

1. Открыть в веб-интерфейсе KOMRAD вкладку manage ⇒ Настройки коллекторов ⇒ Коллекторы ⇒ Агент журнала событий Windows (WMI), в котором появился новый экземпляр WMI-агента под стандартным названием wmi

2. С помощью кнопки «Редактировать» при необходимости задайте название коллектора

3. Включите только необходимые журналы из всех, что представлены на странице — это поможет снизить поток событий

   осторожно

   Внимание! Для корректной работы нового журнала необходимо в названии указать полное имя этого журнала, например, Microsoft-Windows-Windows Defender/Operational. Постарайтесь не ошибиться, т.к. переименовать/удалить ошибку в дальнейшем будет невозможно.

   подсказка

   Посмотреть полное имя журнала в Windows можно так: откройте "Просмотр событий" ⇒ Найдите необходимый вам журнал приложения или службы ⇒ Кликните правой кнопкой мыши ⇒ Свойства ⇒ в графе "Полное имя" вы увидите полное имя журнала, как на скриншоте ниже.

   

4. Включите агент, нажав на кнопку «Включить»

5. На узле-источнике убедитесь, что события регистрируются в оснастке «Управление компьютером» (compmgmt.msc) в «Просмотре событий»

6. Для просмотра событий, поступающих от подключенного источника в KOMRAD, перейдите на дашборд событий в реальном времени События ⇒ События в реальном времени

Дополнительно:

1. У WMI-агента есть возможность собирать события об изменении локальных файлов. Чтобы настроить передачу логов необходимо зайти в "manage" ⇒ "Настройка коллекторов" ⇒ "Агент журнала событий Windows (WMI)" ⇒ "Файлы" ⇒ добавить новый файл "+" ⇒ указать полный путь к отслеживаемому файлу с его расширением ⇒ проверить и сохранить новое подключение ⇒ перезагрузить коллектор.

   примечание

   Важно помнить, что WMI-агент не может проводить мониторинг папки и не будет отслеживать файл, если его переместить

2. WMI-агент можно удалить из служб с помощью следующих команд:

   .\wmi-agent.exe --service stop -c .\wmi-agent.yaml
   .\wmi-agent.exe --service uninstall -c .\wmi-agent.yaml

3. Рабочим каталогом запущенной службы является специальный системный каталог

   C:\Program Files\Echelon\komrad\wmi-agent

Установка WMI-агента на несколько доменных машин с помощью групповой политики

Для централизованной установки WMI-агента на доменные машины с использованием групповой политики откройте на контроллере домена в Диспетчере серверов «Управление групповой политикой» (либо через «Выполнить» ⇒ gpmc.msc)

В структуре доменов кликните правой кнопкой мыши по нужному домену, далее выберите пункт

«Создать объект групповой политики в этом домене и связать его…»

В разделе редактирования созданной групповой политики добавьте пользователей, группы пользователей и компьютеры, на которые необходимо распространить групповую политику.

Предварительно рекомендуется создать новый каталог (его имя может быть произвольным, например, WMI) и переместить в него следующее:

1. Установочный файл wmi-агента wmi-agent.exe
2. Конфигурационный файл wmi-агента wmi-agent.yaml с предварительно заданным адресом KOMRAD SIEM
3. Папку certs с тремя сертификатами KOMRAD – ca.pem, client.pem и client-key.pem

Переместите указанную папку WMI в sysvol

Далее создайте скрипт PowerShell со следующим содержимым:

Copy-Item -Path "\\Имя_контроллера_домена\sysvol\название_домена\WMI" -Destination "C:\" -Recurse 
C:\WMI\wmi-agent.exe --service install -c C:\WMI\wmi-agent.yaml
Copy-Item -Path "\\Имя_контроллера_домена\sysvol\название_домена\WMI\certs" -Destination 'C:\Program Files\Echelon\komrad' -Recurse
C:\WMI\wmi-agent.exe --service start -c C:\WMI\wmi-agent.yaml

Переместите созданный скрипт в каталог netlogon:

Убедитесь, что группа пользователей «Прошедшие проверку» имеют право на чтение и выполнение созданного скрипта:

Откройте настройки созданной групповой политики.

В открывшемся редакторе управления групповыми политиками создайте новую немедленную задачу в разделе «Конфигурация пользователя»

В свойствах задачи на вкладке «Общие» укажите:

1. Название (может быть любым, например, «Установка WMI»)

2. Учётную запись, от имени которой будет выполняться задача (укажите СИСТЕМА, либо учётную запись администратора домена)

   

На вкладке «Действия» создайте новое действие «Запуск программы». В поле Программа или сценарий укажите powershell.exe со следующим аргументом:

-File "\\Имя_контроллера_домена\netlogon\имя_созданного_скрипта.ps1"

На вкладке «Общие параметры» отметьте пункт «Применить один раз и не применять повторно». Примените созданную задачу.

Теперь при перезапуске компьютеров, на которые распространена созданная групповая политика, при повторной авторизации пользователей, автоматически должен установиться WMI-агент – новые агенты появятся на графическом интерфейсе KOMRAD.

Заполнение журнала Forwarded Events на Windows Server для получения событий WMI

Предварительные условия:

1. Имеется Windows Server 2016 / 2019

2. Имеется машина на ОС Windows, которая будет выступать в роли источника событий

3. На обеих машинах должны быть полностью отключены брандмауэры

Порядок выполняемых действий:

1. Настроить статический IP на сервере по примеру ниже:

   IP адрес: выбранный IP
   
   Маска подсети IPv4: 255.255.255.0
   
   Шлюз: 10.0.4.1 / 10.0.1.1 (в зависимости от подсети, в которой находится машина)
   
   DNS-сервер: 10.0.1.1 (в момент тестирования был установлен такой адрес в поле DNS-сервера)

2. На Windows Server развернуть Active Directory:

   В Диспетчере серверов выбрать "Добавить роли и компоненты";

   Во вкладке "Роли сервера" отметить "Доменные службы Active Directory";

   В остальных вкладках всё оставить по умолчанию.

   подсказка

   Если на этапе установки AD выдаётся ошибка, то необходимо изменить пароль у администратора домена (учетная запись: "Администратор")

3. Повысить роль сервера до уровня контроллера домена:

   • Добавить новый лес доменных имён

   • Пропустить делегирование DNS

   В остальных окнах заполнить необходимые поля, связанные с именами/паролями и перейти к установке.

4. Во вкладке "Пользователи и компьютеры" добавить нового пользователя, под которым будет осуществляться вход в домен другими компьютерами. Включить пользователя в группу "Администраторы домена"

5. Машину-источник Windows вводим в созданный домен при помощи созданной в предыдущем шаге учётной записи

6. В настройках сети машины-источника в поле DNS указать адрес машины Windows Server

7. Настраиваем отправку событий из журнала, например, Security у источника (здесь, либо здесь пошаговые гайды при необходимости)

8. После создания подписки на сервере дать права на чтение журналов локальным админам:

   • В "Просмотре событий" открыть свойства журнала

   • Скопировать Полное имя журнала

   • С помощью cmd дать права на чтение командой:

   wevtutil set-log EventLogFullName /ca:O:BAG:SYD:(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)

   Где EventLogFullName - полное имя журнала.

9. Убедиться в том, что на Windows Server в журнале "Перенаправленные события" появилось событие. Для получения большего количества событий перезагрузить машину-источник

   подсказка

   Если события долго не приходят, то на машине-источнике нужно перейти в "Службы" и перезапустить Службу удалённого управления Windows (WS-Management)

10. На Windows Server установить WMI-агента для отправки события на KOMRAD (в конфиге прописан адрес стенда KOMRAD)

11. На UI (интерфейс KOMRAD) включить добавленный WMI-агент

12. В интерфейсе коллектора настроить журнал ForwardedEvents

13. Нажать "Сохранить" журнал

14. Включить сбор событий через переключатель

15. Убедиться, что во вкладке "События в реальном времени" появились события из журнала ForwardedEvents.

осторожно

WEC можно подключить к KOMRAD только без установки службы. Используйте команду:

.\wmi-agent.exe -c .\wmi-agent.yaml

примечание

Если после смены IP-адреса WMI-агент перестал работать, то одним из возможных вариантов решения проблемы может быть очистка папки с логами.

Перейдите по пути C:\Program Files\Echelon\komrad\wmi-agent и удалите содержимое папок wal и storage

В этой папке C:\Windows\System32\config\systemprofile\AppData\Local\komrad\komrad-wmi-agent\offsets хранится состояние агента.

Видео