הגדרת והגדרת אוסף אירועי חלונות יעיל

מדריכים

ניהול יומן האירועים הוא מיומנות חיונית ללמוד בכל סביבת Windows. הפעילות מורשת ליומני אירועים של Windows בכל שנייה והיא פועלת לא רק ככלי אבטחה אלא גם כעזרה חיונית לפתרון בעיות. עם תכונה הנקראת העברת אירועי Windows (WEF), Windows יכולה לשלוח אירועים לאוסף אירועי Windows ממכונות מרוחקות.

סקירת עבודה על העברת לוג אירועי Windows

WEF הוא שירות המאפשר לך להעביר אירועים ממספר שרתי Windows ולאסוף אותם במקום אחד. השירות מכיל שני רכיבים עיקריים; מעביר ואוסף. אוסף הוא שירות הפועל על שרת Windows שאוסף את כל האירועים שנשלחים אליו ממעביר לוג אירועים.

קשור:מדריך מלא לשימוש בפקודת הפוורשל Get-WinEvent של PowerShell

ה"קישור" בין שרת ההעברה ואוסף ידוע כמינוי.

האוספים משמשים כמנהלי מינויים שמקבלים אירועים ומאפשרים לך לציין אילו אזהרות יומני אירועים לאסוף מנקודות הקצה.

סקירת פרויקט WEF

זהו מאמר פרויקט בו אנו מכסים כיצד לבנות פרויקט או ליישם פתרון. כל סעיף לאחר מכן יהיה צעדים צבירתיים המבוססים על הקודם לכן.

עבור פרויקט זה, אתה הולך ללמוד איך להקים מימוש בסיסי של WEF. תלמד כיצד להקים גם אספקטור וכיצד להעביר ארועים לאספקטור עם מינוי.

תלמד לעשות את הבא:

  1. להקים ולהגדיר אספקטור של יומן ארועים על מופע של שרת Windows. זה יהיה השרת שבו כל מפעילי הקידום ישלחו ארועים.
  2. ליצור GPO שכאשר מוחל, יכול להפנות מופעים של Windows Server רלוונטיים לאספקטור כדי לשלוח ארועים.
  3. להגדיר את סוגי הארועים לשלוח לאספקטור.

תלמד כיצד לעבוד דרך כל צעד בשאר כתב זה.

דרישות סביבה וידע

לפני שתתקדם יותר, ודא שהסביבה שלך זהה לשלי. יש לך את הפריטים הבאים במקום לפני שתתחיל:

  • (2) מופעי Windows Server – תוכל להשתמש בכל מופע של Windows Server של 2012 R2 ומעלה. במאמר זה, אני אשתמש ב- Windows Server 2016.
  • פעולה פעילה
  • GPO – יידרש להכירות עם אובייקטי מדיניות קבוצתית.

    WinRM – WinRM צריך לרוץ על כל הלקוחות. לא מוגדר, רק רץ.

קשור:
מהו מדיניות הקבוצה וכיצד זה עובד? (בפרט)

הגדרת אספקטור ארועי Windows

המשימה הראשונה לבצע היא להגדיר אחת ממכונות ה-Windows Server שלך כאספן. זכור שהאספן הוא הגורם שמקבל יומני אירועים נכנסים מהפורוארדר.

הפעלת WinRM על אספן אירועי Windows

מכונות ה-Windows Server ששולחות אירועים לאספן עושות זאת דרך PowerShell Remoting או WinRM. יש לוודא ש-WinRM זמין באספן שלך. אם האספן פועל ב-Windows Server 2012 R2 ומעלה, WinRM מופעל כבר כברירת מחדל, אך חומת האש של Windows עשויה להפריע.

הפעל את פקודת ה-PowerShell Enable-PSRemoting ללא פרמטרים על האספן. גם אם PowerShell Remoting כבר מופעל, הוא ידלג על השלבים הנדרשים.

לוודא, תוכל גם להריץ Invoke-Command -ComputerName <COLLECTORHOSTNAME> -ScriptBlock {1} ממחשב מרוחק. אם אין לך שגיאה, PowerShell Remoting פועל.

הפעלת שירות אספן המינויים

עכשיו ש-PowerShell Remoting מופעל ומקשיב, התחל את שירות אספן המינויים. שירות אספן המינויים צריך גם להתחיל אוטומטית כשה-Windows Server מתמקם.

על המאסף, פתח את מציג האירועים ולחץ על מינויים. בפעם הראשונה שאתה פותח את אפשרות מינויים, Windows תשאל אם ברצונך להתחיל את שירות אוסף יומן האירועים של Windows ולהגדיר אותו להתחיל באופן אוטומטי. לחץ על כן כדי לאשר.

תוכל לראות דוגמה להודעה למטה.

Windows Event Collector Service

מזל טוב! עכשיו יש לך מאסף מוגדר. עכשיו זמן להגדיר GPO שיכוון את מופעי שרתי Windows להעביר אירועים למאסף.

הגדרת GPO לקידום ההועברות

השלב הבא הוא להגדיר כמה שרתי Windows על מנת להתחיל להעביר לוגים אירועים למאסף. הדרך הקלה ביותר לעשות זאת היא על ידי יצירת GPO. GPO זו אז ניתן להחיל על כמה שרתים או יותר OU שמכילים את השרתים לשליחת האירועים מהם.

תלמד את היסודות להגדרת הגדרות הנדרשות ב-GPO במאמר פרוייקט זה. אם ברצונך לקבל סקירה מלאה עם כל האפשרויות הזמינות, בדוק את תיעוד Microsoft.

אישור לשירות הרשת לקרוא בלוגים אירועים

WEF משתמש בחשבון שירות הרשת כדי לקרוא ולשלוח אירועים משולח אל מאסף. כברירת מחדל, חשבון שירות הרשת אינו מורשה לעשות זאת. תצטרך תחילה להגדיר את ACL זו כדי לאפשר זאת.

הערה: רוב יומני הארועים ב-Windows Server כבר מעניקים לחשבון שירות הרשת גישה ליומני הארועים הנפוצים כמו יישום ומערכת. אך אין לחשבון גישה ליומן האירועים בטחונות וליומני האירועים המותאמים אישית אחרים.

כדי לאפשר לחשבון שירות הרשת לקרוא ביומני אירועים במעבירי אירועים ליומן אירועים, השתמש ב-GPO. במאמר זה, תלמד כיצד לאפשר לחשבון שירות הרשת לגשת ליומן האירועים בטחונות. ישראלים אחרים יתעקבו אחרי אותו תהליך.

1. התחל על ידי פתיחת פקודת פעולה והרצת wevtutil gl security. זה יספק מידע שונה אודות יומן האירועים בטחונות. אך החלק שצריך להתרכז בו הוא channelAccess SDDL.

תראה מטה דוגמה ל-SDDL שתצטרך עבור יומן האירועים בטחונות. השורה channelAccess מייצגת את ההרשאות המוגדרות על יומן האירועים. העתק את ה-SDDL שמודגש למטה ושמור אותו במקום מסוים כדי להוסיף אותו מאוחר יותר ל-GPO.

channelAccess SDDL

2. צור GPO דרך מסוף ניהול מדיניות הקבוצה. בתוך ה-GPO, נווט אל תצורת המחשבמדיניותתבניות מנהלרכיבי Windowsהעברת האירועיםהגדר מנהל מנוי יעד.

3. הגדר את הערך עבור מנהל המינוי יעד לנקודת הקצה של WinRM על האוסף. יש להגדיר את השרת להיות בפורמט:

Server=http://<FQDN של האוסף>:5985/wsman/SubscriptionManager/WEC,Refresh=60

שים לב למרווח הרענון בסוף נקודת הקצה של האוסף. מרווח הרענון מציין כמה פעמים הלקוחות יש לבדוק כדי לראות אם יש מינויים חדשים זמינים.

4. לאחר מכן, מצא את ה-SDDL שהעתקת מקודם מהרצת wevtutil gl security והדבק אותו בהגדרה תצורת מחשבמדינוייםתבניות ניהולרכיבי Windowsשירות יומן ארועיםאבטחההגדר גישה ליומן.

שים לב ש-SDDL זו תתחיל בתוקף על פני כל ההרשאות האחרות שהוגדרו עבור יומן הארועים.

ניתן לראות דוגמה לאופן בו ייראה ה-GPO שלך ליומן האבטחה למטה.

Configure log access GPO setting

5. לאחר שנוצר ה-GPO, יש לקשור אותו או לתחום מצוי כבר הכולל שרתי Windows לשליחת יומני ארועים ממנו או ליצירת OU חדש וקישור ה-GPO. כל חשבון מחשב AD שתוסיף ל-OU זו יקבל כעת מינוי לאוסף.

הגדרת מינוי

בעת הגדרת WEF לאיסוף כל הארועים עבור כל שרתי Windows בתחום Active Directory ייראה כמו רעיון טוב, אך אין זה כך. עליך להיות בררני ולהעביר רק את הארועים שחשובים לך. סינון של הרעש ממה שחשוב הוא המקום בו WEF מציג את ערכו האמיתי.

בואו נתחיל להגדיר מנוי על ידי רישום ליומן אירועי אבטחה.

כיוון שכבר יצרת את ה-GPO וקשרת אותו ליחידת ארגון פעילה שמכילה את שרתי החלונות שברצונך לשלוח אירועים ממנם, מקורות האירועים כבר מוגדרים

  1. באוסף, פתח את מציג האירועים של Windows ולחץ עם העכבר על מנויים, ואז צור מנוי.
Creating an event log subscription

2. כפי שמוצג למטה, בחר באפשרות מחשב מקור מאתחל ולאחר מכן לחץ על בחר קבוצות מחשבים. זהו המקום בו תבחר אילו מחשבים ברצונך להעביר אירועים מהם.

Setting an event log source

עצה מקצועית: בחירת קבוצות AD. לדוג' "בקרי דומיין" יפעלו באופן אוטומטי כל המחשבים בתוך הקבוצה. אין צורך לבחור מחשבים בודדים בכל פעם שמוסיפים שרת חדש.

3. בחר את האירועים להעברה. פתח את מסנן השאילתה כפי שאתה רואה מטה, בחר באבטחה כדי להעביר אירועים לאוסף מיומן האירועים של אבטחה.

Selecting Windows events to forward

4. לאחר שנבחר היומן האבטחה, תוכל לסנן עוד יותר על ידי הזנת מזהה האירוע, מילות מפתח, משתמשים ומחשבים כפי שמוצג מטה.

Filtering Windows events

5. לחץ על אישור כדי לצאת מתוך מסנן השאילתה.

6. לחץ על מתקדם בחלון מאפייני המנוי. כעת בחר למזער איחוד זמן. הגדרה זו תבטיח כי האוסף יקבל אירועים בהקדם האפשרי וגם תעזור לו להשתדרג אם הוא מאחור.

Setting Minimize Latency

אימות תצורת WEF

לאחר ש-WEF מוגדר, עליך לבדוק אם המעבירים באמת ביקשו בדוק על ידי בדיקת עמוד המחשבים מקור בדף המנויים הראשי.

Event Log subscriptions

אתה יכול גם לבדוק את יומן ההפעלה הפעיל של תוסף הכיוון לאירועים בתחתית היישומים והשירותים בלקוח כדי לוודא שהכל פועל. זהו המקום בו תראה שגיאות מתארות אם משהו השתבש עם Kerberos או החומות האש.

EventLog-ForwardingPlugin event

כל שנותר לעשות הוא למצוא לקוח בערך נמוך, לנקות את יומן האבטחה ולראות האם אתה מקבל התראה.

הדברים שאתה יכול לקחת מכל זה

בפרויקט זה, למדת איך להגדיר מנוי WEF בסיסי. אתה:

  • הקנת מאגר אירועים
  • יצרת GPO כדי ליצור מנוי על יישומי Windows Server שונים
  • הגדרת מנוי WEF כך שישלח רק אירועים ספציפיים
  • הבטיחת שהמנוי WEF שולח אירועים במהירות הגבוהה ביותר

להגדיר את WEF הוא מעט מסובך להגדיר בתחילה, אך פעם שהוא פועל, אתה אמור להיתקל בקצת בעיות ובקצת ראשים מתחזקים.

Source:
https://adamtheautomator.com/windows-event-collector/