Интеграция с Microsoft Exchange Server 2010

Схема стенда:

На схеме контроллером домена выступает Windows Server 2008 R2, на котором установлен MS Exchange Server 2010. Windows Server 2016 выступает в качестве посредника между MS Exchange Server 2010 и KOMRAD Enterprise SIEM. Требуется присоединить в домен Windows Server 2016. На Windows Server 2016 необходимо установить WMI-агент

Настройка перенаправления событий с Windows Server 2008 R2 на Windows Server 2016

1. Перейти в учётные записи локальных администраторов на обоих устройствах

2. На сервере-коллекторе (Windows Server 2016) выполнить команду:

   winrm qc

   Дальше необходимо ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников). Следует учесть, что выполнение команды winrm qc одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS.

3. На сервере-коллекторе (Windows Server 2016) выполнить команду:

   wecutil qc

   Далее нужно согласиться на включение службы "Сборщик событий Windows" (Windows Event Collector). При этом в Windows Firewall создается разрешающее правило для входящих соединений на коллектор по TCP:5985.

4. На источнике (Windows Server 2008) событий следует включить службу WinRM командой:

   winrm qc

   Установите "Тип запуска" в значение "Автостарт" и запустить "Службу удаленного управления Windows" (Windows Remote Management (WS-Management)).

   

5. Проверить состояние службы WinRM на сервере-коллекторе (Windows Server 2016) можно командой:

   winrm enumerate winrm/config/listener

   в результате выполнения которой отобразятся настройки порта и список локальных IP-адресов, на которых прослушиваются соединения по TCP:5985. Команда winrm get winrm/config покажет подробные настройки службы WinRM

   

6. На источнике (Windows Server 2008) событий требуется предоставить доступ к журналам аудита службы WinRM путем включения встроенной учетной записи NT AUTHORITY\NETWORK SERVICE (SID S-1-5-20) в локальную группу BUILTIN\Event Log Readers ("Читатели журнала событий"). После этого необходимо перезапустить Службу удаленного управления Windows (WinRM) и службу Журнал событий Windows (EventLog)

7. Затем следует создать и применить конфигурацию локальной групповой политики для источника (Windows Server 2008), в которой будет указана конфигурация и адрес сервера-коллектора. Требуется включить политику Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Пересылка событий/Настроить адрес сервера... (Computer Configuration/Administrative Templates/Windows Components/Event Forwarding/Configure the server address...)

   

   и указать адрес сервера-коллектора в следующем формате:

   Server=http://servername.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

   где 60 – частота обращения (в секундах) клиентов к серверу за новыми инструкциями по пересылке журналов, а servername.domain.local — это доменное имя коллектора (Windows Server 2016).

   

   После применения данной настройки на устройствах-источниках следует сделать перезапуск службы WinRM.

8. Перед тем, как приступить к конфигурации подписки на получения журналов событий, требуется сформировать журнал MSExchange Management. Для этого требуется на сервер-коллектор (Windows Server 2016) начать установку Microsoft Exchange Server 2010.

   Далее в любую папку извлечь загруженный файл и запустить процесс установки Microsoft Exchange Server 2010 (запустить setup.exe). Нужно дойти до пункта Шаг 4: Установите Microsoft Exchange.

   

   После чего запустить этот шаг и дойти до этапа установки "Проверка готовности".

   

   В этот момент формируется нужный нам журнал MSExchange Management. Чтобы это проверить можно зайти в "Просмотр событий" ⇒ "Журналы приложений и служб", там появится журнал MSExchange Management. Дальше продолжать установку Microsoft Exchange Server 2010 не требуется.

9. Далее создаем и применяем конфигурацию подписки на сервере-коллекторе (Windows Server 2016):

   Открываем оснастку управления журналами аудита (eventvwr.msc) и находим внизу раздел "Подписки" (Subscriptions). Нажимаем правой кнопкой мыши и выбираем "Создать подписку", задаем имя подписки. Важно выбрать "Конечный журнал" ⇒ "Перенаправленные события". Далее выбираем опцию "Инициировано исходным компьютером" (Source Computer Initiated). Нажимаем на кнопку "Выбрать группы компьютеров" (Select Computer Groups), выбираем из Active Directory АРМ с Windows Server 2008. Далее нажимаем "Выбрать события" (Select Events), "По источнику". Из списка источников выбирать следующие: MSExchange ADAccess, MSExchange CmdletLogs, MSExchange RBAC, MSExchange Management, MSExchange Management Application, MSExchange Configuration Cmdlet - Management Console.

   

Настройка WMI-коллектора на KOMRAD

Для настройки WMI-коллектора требуется, чтобы он был подключен к KOMRAD Enterprise SIEM и был доступ к веб-интерфейсу SIEM.

Далее переходим во вкладку "manage" ⇒ "Настройка коллекторов" ⇒ "Агент журнала событий Windows (WMI)". Включить нужный коллектор, как показано на скриншоте ниже.

Далее, переходим в этот коллектор и включаем журнал ForwardedEvents. Нажимаем на журнал ForwardedEvents и настраиваем его на максимальный уровень логирования.

осторожно

Если на сервер-коллектор (Windows Server 2016) придет событие 111, то работа пересылки журналов остановится.

Такое происходит, если сервер-коллектор (Windows Server 2016) выключить, используя сохранения состояния виртуальной машины.

Эта проблема устраняется перезапуском процесса установки Microsoft Exchange Server 2010

Ниже продемонстрированы скриншоты с примерами полученного события и инцидента:

подсказка

Фильтры (30 шт.) и директивы корреляции (28 шт.) под источник событий можно скачать в рамках расширенной технической поддержки