Регистрация и пересылка событий Windows

[Carder]

Введение​

Общей темой, выявленной центром кибербезопасности (ACSC) при проведении расследований, является то, что организации не имеют достаточной информации о деятельности, происходящей на их рабочих станциях и серверах. Хорошая видимость того, что происходит в среде организации, имеет важное значение для проведения эффективного расследования. Это также помогает усилиям по реагированию на инциденты, предоставляя критическую информацию о событиях, связанных с инцидентами кибербезопасности, и снижает общие затраты на реагирование на них.
Этот документ был разработан как руководство по установке и настройке регистрации и пересылки событий Windows. Этот совет был разработан для поддержки как обнаружения, так и расследования вредоносной активности, обеспечивая идеальный баланс между сбором важных событий и управлением объемами данных. Этот совет также разработан для дополнения существующих систем обнаружения и предотвращения вторжений на основе хоста.
Этот документ предназначен для специалистов по информационным технологиям и информационной безопасности. Он охватывает типы событий, которые могут быть созданы, и оценку их относительной ценности, централизованный сбор журналов событий, хранение журналов событий и рекомендуемые параметры групповой политики вместе с примечаниями по реализации.
Этот документ не содержит подробной информации об анализе журналов событий.
К этому документу прилагается репозиторий регистрации событий Windows ACSC [1]. Репозиторий содержит файлы конфигурации и сценарии для реализации рекомендаций в этом документе. Все файлы и папки, упомянутые в этом документе, доступны в этом репозитории.

Соображения​

Рекомендации этого документа требуют использования Microsoft Windows Server 2008 R2 и Microsoft Windows 7 SP1 или более новых версий. Некоторые параметры групповой политики, используемые в этом документе, могут быть недоступны или несовместимы с выпусками Windows Professional, Home или S.
Чтобы обеспечить точную корреляцию событий, необходимо использовать точные и согласованные отметки времени. Организациям рекомендуется убедиться, что все устройства в их среде (например, хосты Windows и сетевое оборудование) настроены на использование точного источника времени.
Как подробно описано в Стратегиях смягчения инцидентов кибербезопасности, рекомендуемый срок хранения журнала событий составляет не менее 18 месяцев; однако некоторые организации могут иметь нормативное требование хранить журналы событий в течение более длительного периода.
Чтобы облегчить управление рекомендациями в этом документе, обсуждаемые параметры групповой политики должны быть помещены в отдельный объект групповой политики (GPO) с областью действия, установленной для всех хостов Windows в домене.
Все изменения, внесенные в системы, должны быть полностью протестированы, чтобы гарантировать отсутствие нежелательных побочных эффектов для обычных бизнес-процессов организации. При тестировании следует сосредоточить внимание на объеме создаваемых журналов и любом влиянии на производительность сети, особенно в тех случаях, когда информация может передаваться через соединения с низкой пропускной способностью.
Рекомендуемые параметры групповой политики в этом документе используют расширенные политики аудита, которые могут переопределять существующие устаревшие политики аудита [3]. Следует позаботиться о том, чтобы существующие устаревшие политики аудита были перенесены на расширенные политики аудита.
Sysmon (системный монитор) [4], инструмент, опубликованный Microsoft, обеспечивает большую видимость системной активности на хосте Windows, чем стандартное ведение журнала Windows. Организациям рекомендуется использовать этот инструмент в среде Windows.

Хранение журнала событий​

В настройках Windows по умолчанию задан относительно небольшой размер журнала, и события будут перезаписываться по мере достижения журналом максимального размера. Это создает риск, поскольку важные события могут быть быстро перезаписаны. Чтобы снизить этот риск, размер журнала безопасности необходимо увеличить по сравнению с размером по умолчанию 20 МБ. Также следует увеличить размеры журналов приложений и системного журнала, но обычно они не содержат столько данных и, следовательно, не должны быть такими же большими, как журнал безопасности. Размеры журналов по умолчанию приемлемы в средах, где локальное хранилище ограничено (например, среды виртуальной инфраструктуры), при условии, что журналы пересылаются.
Параметры групповой политики, представленные в таблице ниже, увеличивают максимальный размер журнала безопасности до 2 ГБ, а максимальный размер журнала приложений и системы - до 64 МБ. Это обеспечит баланс между использованием данных, сохранением локального журнала и производительностью при анализе локальных журналов событий. Обратите внимание, что эти изменения повысят требования к хранению данных для каждого хоста Windows в сети.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Приложение
Укажите максимальный размер файла журнала (КБ)	Включено Максимальный размер журнала (КБ): 65536
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Безопасность
Укажите максимальный размер файла журнала (КБ)	Включено Максимальный размер журнала (КБ): 2097152
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Система
Укажите максимальный размер файла журнала (КБ)	Включено Максимальный размер журнала (КБ): 65536

Категории событий​

Параметры Windows по умолчанию предоставляют только подмножество желаемых событий регистрации, которые помогают обнаруживать и расследовать вредоносную активность. В этом разделе рассматриваются категории событий, которые значительно улучшат технический анализ.
Каждую категорию событий можно развернуть независимо, а категории в таблице ниже упорядочены по полезности источника данных для обнаружения и расследования. Как правило, настоятельно рекомендуется использовать большинство категорий событий. Список не является исчерпывающим, и организации должны включать дополнительные журналы событий, специфичные для их требований аудита.
Каждая из категорий событий ниже сопровождается предоставленными файлами подписки. Подписки используются пересылкой событий Windows для пересылки локально сгенерированных событий при фильтрации менее ценных событий.

Категория события	Описание	Зачем	Ценить	Шум	Замечания по реализации
Sysmon	Обеспечивает видимость создания и завершения процесса, загрузки драйверов и библиотек, сетевых подключений, создания файлов, изменений реестра, внедрения процесса и т. д.	Обнаруживает многие формы выполнения вредоносных программ, постоянство и неправильное использование легитимных инструментов, включая обходы контроля приложений. Обнаруживает внедрение процесса и некоторые формы доступа к учетным данным и паролям.	Очень высоко	Очень высоко	Если Sysmon не может быть развернут, используйте вместо этого отслеживание процессов.
Блокировка учетной записи	Записывает активность блокировки учетной записи.	Обнаруживает попытки подбора пароля, которые злоумышленник может использовать для доступа к учетной записи.	Высоко	Низкий	Нет
Модификации аккаунта	Создание и изменение записей учетных записей и групп.	Обнаруживает несанкционированное создание или изменение учетных записей с административными привилегиями.	Высоко	Низкий	Нет
Сбор событий	Пересылает изменения и ошибки с помощью аудита, сбора событий и пересылки событий.	Проверяет, что узлы Windows в сети проводят аудит, собирают и пересылают журналы должным образом. Обнаруживает попытки злоумышленника подавить свидетельства регистрации.	Высоко	Низкий	Нет
Вход в учетную запись	Записывает активность, связанную с входом и выходом учетных записей.	Обнаруживает несанкционированное использование учетных записей, включая индикаторы злоумышленника, перемещающегося по сети.	Высоко	Средняя	Нет
Отслеживание процесса	Обеспечивает видимость создания и завершения процесса, включая аргументы командной строки (без использования Sysmon).	Обнаруживает выполнение некоторых форм вредоносных программ и неправомерное использование легитимных инструментов, включая некоторые формы обхода контроля приложений.	Высоко	Высоко	Должен быть реализован только в том случае, если Sysmon не может быть развернут.
AppLocker	Обеспечивает видимость программ, заблокированных контролем приложений.	Обнаруживает вредоносное ПО, выполнение которого было заблокировано контролем приложений.	Средняя	Низкий	Только полезно, если настроен AppLocker.
Расширенный набор инструментов для смягчения последствий	Записывает события Enhanced Mitigation Experience Toolkit (EMET), относящиеся к примененным смягчениям.	Обнаруживает попытки эксплуатации, которые были успешно заблокированы EMET.	Средняя	Низкий	Применимо, только если установлен и настроен EMET. EMET недоступен в Microsoft Windows 10 версии 1709 и более поздних.
Услуги	Предоставляет информацию об установке услуг.	Обнаруживает установку сервисов, которые используются противником для настойчивости или бокового перемещения.	Средняя	Низкий	Нет
Защитник Windows	Записывает, когда средства защиты от эксплойтов были применены Exploit Guard в Защитнике Windows. Записывает события обнаружения антивируса Защитника Windows и ошибки или проблемы с запуском или обновлением программного обеспечения.	Обнаруживает попытки эксплуатации, которые были успешно заблокированы. Обнаруживает вредоносное ПО, которое было успешно заблокировано, и проверяет, что программное обеспечение работает и правильно обновляется.	Средняя	Низкий	Если антивирус Защитника Windows не используется, следует пересылать журналы из другого антивирусного программного обеспечения. Exploit Guard доступен с Microsoft Windows 10 версии 1709.
Отчеты об ошибках Windows	Записывает, когда приложение вылетает.	Обнаруживает попытки эксплуатации и нестабильные приложения, которые могут указывать на вредоносную активность.	Средняя	Низкий	Нет
Целостность кода	Записывает нарушения целостности кода для драйверов и защищенных процессов. Если Device Guard настроен, он также регистрирует общесистемные нарушения целостности кода.	Обнаруживает вредоносные программы или приложения с ограниченным доступом, выполнение которых проверяется или предотвращается с помощью проверок целостности кода.	Средняя	Низкий или средний (с Device Guard)	Видимость увеличивается, если настроено Device Guard.
Файловые ресурсы	Создание записей, изменение и доступ к файловым ресурсам.	Обнаруживает доступ и изменение общих файловых ресурсов. Это включает в себя боковое перемещение и доступ к общим файлам, используемым для эксфильтрации данных из сети.	Средняя	Средняя	Нет
Запланированные задачи	Записывает создание и изменение запланированных задач.	Обнаруживает добавление или изменение запланированных задач. Сюда могут входить задачи, используемые для бокового перемещения, сохранения или повышения системных привилегий.	Средняя	Средняя	Нет
Аудит инструментария управления Windows	Создает записи аудита для локальных и удаленных операций инструментария управления Windows (WMI) по конфиденциальным путям.	Обнаруживает использование WMI противником для локальной или удаленной разведки, бокового движения и настойчивости.	Средняя	Средняя	Нет
NTLM аутентификация	Записывает использование исходящей проверки подлинности NTLM.	Обнаруживает намеренные или непреднамеренные утечки NTLM, которые могут быть использованы злоумышленником для удаленной аутентификации или повышения привилегий внутри домена.	Низкий	Средняя	Шум зависит от использования NTLM в сети.
Аудит доступа к объектам	Производит аудит путей к файлам, разделов реестра и процессов с уже существующими разрешениями аудита.	Обнаруживает некоторые формы несанкционированного изменения конфиденциальных файлов и ключей реестра, а также некоторые формы доступа к учетным данным и хэш-паролям.	Низкий	Средняя	Нет
PowerShell	Записывает действия PowerShell, включая интерактивные действия и использование сценариев.	Обнаруживает использование PowerShell злоумышленником.	Низкий	Высоко	Нет

Конфигурация категории событий​

Sysmon​

Sysmon записывает ключевые события, которые помогут в расследовании вредоносных программ или неправильного использования собственных инструментов Windows. Эти события включают создание и завершение процесса, загрузку драйверов и библиотек, сетевые подключения, создание файлов, изменения реестра, внедрение процесса, использование именованных каналов и постоянство на основе WMI. Sysmon также поддерживает фильтрацию событий, чтобы вести журнал на управляемом уровне.
Файл конфигурации Sysmon определяет, какие события будут записываться. Файл конфигурации Sysmon по умолчанию предоставляется в events / sysmon / sysmon_config.xml и должен подходить для большинства сред. Для дальнейшей фильтрации или управления пересылаемыми событиями можно настроить конфигурацию Sysmon и включить или отключить подписки Sysmon.
Как и все программное обеспечение, Sysmon следует устанавливать в соответствии с согласованными методами развертывания программного обеспечения в сети. Sysmon можно развернуть с помощью параметров групповой политики или System Center Configuration Manager (SCCM). Никаких других изменений параметров групповой политики не требуется, поскольку вся информация о конфигурации Sysmon содержится в файле конфигурации.
Руководство по созданию установочного файла (например, файла MSI), который может упростить развертывание Sysmon, содержится в events / sysmon / msi / README.txt. В качестве альтернативы для поддержки Sysmon из скрипта или инструмента командной строки можно использовать следующие команды:

• Установка: sysmon -accepteula -i или sysmon -accepteula -i sysmon_config.xml
• Конфигурация: sysmon -c sysmon_config.xml
• Удаление: sysmon –u.

Перед использованием Sysmon необходимо принять лицензионное соглашение с конечным пользователем.

Блокировка учетной записи​

Следующий параметр групповой политики может быть реализован для записи событий, связанных с блокировкой и разблокировкой учетных записей.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Вход в систему / Выход из системы
Аудит блокировки учетной записи	Неудача

Модификации аккаунта​

Следующие параметры групповой политики могут быть реализованы для записи событий, связанных с созданием или удалением учетной записи, а также с изменениями групп учетных записей.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Управление учетной записью
Аудит управления учетной записью компьютера	Успех и неудача
Аудит других событий управления учетной записью	Успех и неудача
Аудит управления группой безопасности	Успех и неудача
Аудит управления учетными записями пользователей	Успех и неудача

Сбор событий​

Эта категория событий записывает и пересылает изменения политики аудита при очистке журналов событий и сбоях с регистрацией событий. Многие из этих событий записываются по умолчанию, но следующие параметры групповой политики еще больше улучшают видимость.
Подписка будет пересылать, если возможно, предупреждения и ошибки, возникающие из-за проблем с пересылкой событий Windows. Эти журналы могут обнаруживать ошибки, связанные с неправильно сформированными подписками, и могут помочь в отладке.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Изменение политики
Аудит Изменение Политики Аудита	Успех и неудача
Аудит других событий изменения политики	Успех и неудача
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Система
Аудит целостности системы	Успех и неудача

Вход в учетную запись​

Следующие параметры групповой политики могут быть реализованы для записи событий входа и выхода, включая интерактивный вход, вход в сеть и вход в систему с использованием явных учетных данных.
Подписка не будет пересылать события входа в систему Kerberos, которые создают высокий уровень шума в типичной сети. Это может скрыть неправильное использование билетов Kerberos; однако эта информация по-прежнему будет доступна на каждом локальном компьютере.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Вход в систему / Выход из системы
Членство в аудиторской группе (Только в Microsoft Windows 10, Microsoft Windows Server 2016 и Microsoft Windows Server 2019)	Успех
Аудит выхода из системы	Успех
Аудит входа в систему	Успех и неудача
Аудит других событий входа / выхода	Успех и неудача
Аудит специального входа в систему	Успех и неудача

Отслеживание процесса​

Следующие параметры групповой политики могут быть реализованы для записи событий создания и завершения процесса. Организациям рекомендуется собирать эту информацию через Sysmon. Если Sysmon не может быть использован, события отслеживания процессов могут быть собраны с помощью этого собственного журнала Windows.
Важно повысить ценность событий создания процесса, включив аргументы командной строки в события создания процесса. Эта функция включена для Microsoft Windows 8.1 и Microsoft Windows Server 2012 R2 и более новых версий. Для более ранних версий Windows доступно обновление. Дополнительные сведения см. в рекомендациях Microsoft по безопасности 3004375 [5] и в обновлении для улучшения аудита командной строки Windows [6].

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Подробное отслеживание
Создание процесса аудита	Успех
Прекращение процесса аудита	Успех
Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Создание процесса аудита
Включить командную строку в события создания процесса	Включено

AppLocker​

Эта категория событий пересылает события аудита или отклонения от AppLocker [7]. AppLocker должен быть настроен либо в режиме аудита, либо в режиме принудительного применения, чтобы события создавались. Дополнительные сведения см. В разделе «Управление приложениями» в публикациях руководства по усилению защиты Microsoft Windows и в публикации «Реализация управления приложениями». Если используется управление сторонними приложениями, следуйте документации, чтобы включить и переадресовать ведение журнала. Как минимум, заблокированные события выполнения должны регистрироваться.

Расширенный набор инструментов для смягчения последствий​

Enhanced Mitigation Experience Toolkit (EMET) [10] был разработан Исследовательским центром безопасности Microsoft (MSRC) для обеспечения дополнительной общесистемной и специфической для приложения защиты от использования программного обеспечения. Однако с тех пор Microsoft прекратила поддержку EMET, так как многие меры по снижению риска были включены в защиту от эксплойтов Защитника Windows [11].
EMET по-прежнему обеспечивает значительные преимущества безопасности для версий Windows, предшествующих Microsoft Windows 10 версии 1709, особенно за счет применения мер по снижению рисков для приложений третьих сторон [12].
Эта категория событий будет пересылать предупреждения и ошибки, созданные EMET. EMET должен быть установлен и правильно настроен для создания событий. Для получения дополнительной информации см. Раздел Enhanced Mitigation Experience Toolkit в публикациях руководства по усилению защиты Microsoft Windows.

Услуги​

Эта категория событий будет пересылать события после установки служб. Никаких изменений в настройках групповой политики не требуется. Эта категория также пересылает события, связанные с завершением работы службы журнала событий.

Защитник Windows​

Эта категория событий пересылает изменения конфигурации, проблемы с обновлениями и вредоносные программы, обнаруженные антивирусом Защитника Windows. Если используется стороннее антивирусное программное обеспечение, необходимо следовать документации поставщика, чтобы включить и перенаправить ведение журнала в центральное место. Как минимум, изменения конфигурации, проблемы с обновлением и события обнаружения вредоносных программ должны регистрироваться и пересылаться.
Exploit Guard в Защитнике Windows доступен с Microsoft Windows 10 версии 1709, и эта категория событий будет перенаправлять применяемые меры защиты от эксплойтов. События режима аудита также можно пересылать, включив предоставленную подписку на аудит.
Защита от эксплойтов в Защитнике Windows, которая заменила EMET и является компонентом Exploit Guard в Защитнике Windows, по-прежнему будет работать, если используется стороннее антивирусное программное обеспечение. Защита от эксплойтов включена по умолчанию и может быть настроена по мере необходимости [14].
Для событий из компонентов Exploit Guard в Защитнике Windows, уменьшения поверхности атаки, защиты сети и контролируемого доступа к папкам требуется, чтобы в реальном времени был включен антивирусный механизм сканирования антивируса Windows Defender [15].

Отчеты об ошибках Windows​

Эта категория событий пересылает сбои приложения и не требует изменения параметров групповой политики.

Целостность кода​

Эта категория событий пересылает нарушения целостности кода, а следующие параметры групповой политики увеличивают ведение журнала целостности. Записанные события включают неподписанные или ненадежные драйверы и защищенные процессы, пытающиеся загрузить ненадежный код.
Когда Device Guard настроен, события будут генерироваться для нарушений целостности кода на основе определенного списка доверенных исполняемых хэшей и подписей. События режима аудита также могут пересылаться по предоставленной подписке. Для получения дополнительной информации см. Руководство Microsoft по развертыванию Device Guard [16].

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Система
Аудит целостности системы	Успех и неудача

Файловые ресурсы​

Следующие параметры групповой политики могут быть реализованы для записи событий для создания, изменения и доступа к общему файловому ресурсу.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Доступ к объекту
Аудит подробных файловых ресурсов (Включение этого параметра не рекомендуется из-за высокого уровня шума)	Не настроено
Аудит общего доступа к файлам	Успех и неудача

Запланированные задачи​

Следующий параметр групповой политики может быть реализован для записи событий, связанных с зарегистрированными, измененными или отключенными запланированными задачами. Подписка не будет пересылать общие события модификации задачи.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Доступ к объекту
Аудит других событий доступа к объектам	Успех и неудача

Аудит инструментария управления Windows​

Аудит инструментария управления Windows (WMI), как и аудит файлов и реестра, встроен в Windows и обеспечивает видимость активности WMI на узле Windows. Следующие параметры групповой политики могут быть реализованы для записи событий из конфиденциальных путей WMI, включая локальную и удаленную активность.
Настройка записей аудита (списков управления доступом к системе (SACL)) на узлах WMI не может быть выполнена напрямую через параметры групповой политики. Вместо этого это может быть достигнуто с помощью предоставленного сценария PowerShell events / wmi_auditing / wmi_auditing.ps1 и с помощью соответствующего параметра групповой политики ниже, который настроит его для запуска при запуске хоста. Этот сценарий также можно развернуть с помощью служб развертывания программного обеспечения, таких как System Center Configuration Manager (SCCM).
Microsoft Windows 10 версии 1607 и новее по умолчанию включает ведение журнала сохраняемости WMI. Эта функция почти идентична ведению журнала WMI Sysmon.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Доступ к объекту
Аудит других событий доступа к объектам	Успех и неудача
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Скрипты (запуск / завершение работы)
Запускать	Щелкните «Показать файлы ...» и добавьте файл wmi_auditing.ps1. В разделе «Сценарии Powershell» нажмите «Добавить ...» и выберите файл wmi_auditing.ps1.

NTLM аутентификация​

Следующие параметры групповой политики будут регистрировать события исходящей проверки подлинности NTLM, которые могут быть уязвимы для ретрансляционных атак и атак грубой силы. Сгенерированные события включают информацию о пользователе, ответственном за процесс и целевом сервере. Чтобы уменьшить ведение журнала, если NTLM обычно используется в домене (например, серверами, требующими проверки подлинности прокси), вы можете указать серверы, которые будут исключены из аудита.
Хотя протокол NTLM имеет недостатки, отключение NTLM не рекомендуется в типичной сети [17].

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности
Сетевая безопасность: ограничить NTLM: исходящий трафик NTLM на удаленные серверы	Проверить все
Сетевая безопасность: ограничить NTLM: добавить исключения удаленного сервера для проверки подлинности NTLM	<Серверы NTLM как полные доменные имена или имена NetBIOS>

Аудит доступа к объектам​

Microsoft Windows 10 и Microsoft Windows Server 2016 имеют SACL по умолчанию для процесса службы подсистемы локальной безопасности (LSASS) [18]. Если аудит доступа к объектам ядра включен соответствующими настройками групповой политики ниже, это будет записывать доступ для чтения и записи в память LSASS и является ценным при обнаружении злонамеренной активности, например кражи учетных данных.
Sysmon содержит событие Process Access, которое может обнаруживать эту активность в более ранних версиях Windows.
В Windows также есть ключи реестра и пути к файлам для ряда ранее существовавших списков управления доступом, которые можно регистрировать, если включены соответствующие параметры групповой политики, указанные ниже. Они могут быть ценными, но некоторые могут вызвать создание значительного числа малоценных событий. Чтобы уменьшить объем данных до управляемого уровня, подписка не будет пересылать аудит доступа к объектам из учетных записей системы, локальной службы и сетевой службы.
Можно определить ключи реестра и пути к файлам для аудита с помощью параметров групповой политики. Ценность этого снижается, так как может быть сложно определить и поддерживать правила, а также могут появиться недостатки безопасности из-за определения неправильных разрешений. Учитывая эти потенциальные проблемы, предпочтительны функции создания файлов Sysmon и аудита реестра.
Следующие параметры групповой политики могут быть реализованы для записи изменений политики аудита, аудита объектов ядра и, при необходимости, аудита файловой системы и реестра.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Доступ к объекту
Аудит файловой системы (необязательная настройка)	Успех и неудача
Аудит объекта ядра	Успех и неудача
Реестр аудита (необязательная настройка)	Успех и неудача

Ведение журнала PowerShell​

Эта категория событий будет пересылать события запуска движка PowerShell, а при следующих реализованных параметрах групповой политики будет пересылать подробные журналы сценариев PowerShell и интерактивный доступ. Он может создавать чрезмерный уровень шума, если в среде часто используются большие сценарии PowerShell, и рекомендуется провести тестирование перед его развертыванием на предприятии. Для получения информации о защите и ведении журнала с помощью PowerShell.
Для параметра групповой политики «Включить ведение журнала сценария PowerShell» требуется установка PowerShell версии 5.0 или выше. Известный способ обхода этой функции - перейти на более старую версию PowerShell. Организациям рекомендуется удалить или ограничить доступ к более старым версиям PowerShell, где это возможно.
Следующие параметры групповой политики могут быть реализованы для включения функции отслеживания блоков сценариев PowerShell в PowerShell версии 5 или выше. Если параметры групповой политики не отображаются, это требует обновления административных шаблонов групповой политики. В качестве альтернативы организации могут использовать метод реестра.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Windows PowerShell
Включите ведение журнала модуля (Включите, только если в сети установлены версии до PowerShell 5)	Включено Имена модулей: *
Включите ведение журнала блока сценария PowerShell	Включено

Пересылка событий​

Windows имеет встроенную возможность, известную как пересылка событий Windows (WEF), для пересылки событий с узлов Windows в сети на сервер сбора журналов. WEF может работать как методом выталкивания, так и методом вытягивания. В этом документе используется рекомендованный Microsoft метод push [21] для отправки событий на сервер сбора журналов. Подписки добавляются, чтобы определить, какие события должны быть переданы, исходные хосты и как часто они передаются. С сервера сбора журналов события могут быть перенаправлены в систему безопасного централизованного ведения журнала, такую как система управления информацией и событиями безопасности (SIEM). Это позволит централизованно обнаруживать, коррелировать и обнаруживать инциденты кибербезопасности.
В этом документе рассматриваются наиболее распространенные сценарии развертывания; но есть много способов добиться аналогичного результата. Эти инструкции в основном используют пользовательский интерфейс событий Windows, но можно добиться аналогичного результата с помощью утилит командной строки wevtutil и wecutil.
Для реализации пересылки событий необходимо следующее:

• выделенный сервер сбора событий, присоединенный к домену под управлением Microsoft Windows Server
• либо безопасное централизованное средство ведения журнала, где события могут быть перенаправлены для анализа, либо достаточное дисковое пространство, доступное серверу сбора данных для целей архивирования и резервного копирования.

Масштабируемость​

Инструкции, представленные в этом документе, предназначены для домена Windows с одним сервером сбора журналов. В статье Microsoft Use Windows Event Forwarding для помощи в обнаружении вторжений [22] упоминается, что, как правило, сервер сбора журналов на стандартном оборудовании должен быть ограничен 10 000 хостов Windows и менее 10 000 событий в секунду.
Для масштабирования до нескольких серверов сбора данных можно изменить параметры групповой политики, чтобы направлять группы узлов Windows на ближайший доступный сервер сбора журналов. Эти конфигурации должны учитывать расположение сервера сбора и пропускную способность, доступную от хостов Windows по каналам глобальной сети (WAN) или подключениям удаленного доступа при пересылке журналов событий.

Конфигурация клиента​

Конфигурация клиента пересылки событий регулирует конфигурацию удаленного управления Windows (WinRM), на которую опирается пересылка событий Windows, и указывает сервер сбора журналов. Следующие параметры групповой политики должны быть определены в отдельном объекте групповой политики с областью действия, установленной для всех хостов Windows в домене. В случае нескольких серверов сбора данных необходимо определить объекты групповой политики для направления хостов Windows на соответствующий сервер сбора журналов (диспетчер подписки).
Чтобы файлы журнала событий могли быть прочитаны службой пересылки, необходимо изменить группу « Читатели журнала событий». Эта конфигурация не вступит в силу, пока не будет перезапущена служба сборщика событий Windows. Чтобы перезапустить службу, необходимо настроить тип службы Windows Event Collector для запуска в отдельном процессе, а затем необходимо перезапустить службу. Этого можно добиться, выполнив приведенную ниже команду на каждом хосте Windows.
sc config wecsvc type = own && sc stop wecsvc && sc start wecsvc
В качестве альтернативы перезапуск каждого хоста Windows даст тот же результат. Невыполнение любого из этих действий приведет к тому, что журналы Security и Sysmon не будут пересылаться, и будут генерироваться события ошибок (например, идентификатор события 102 из журнала Microsoft-Windows-Forwarding / Operational ).
Если пересылка включена, на клиентах будут использоваться глобальные настройки прокси. Сервер сбора журналов может потребоваться добавить в список исключений прокси, если это не требуется.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Удаленное управление Windows (WinRM) \ Клиент WinRM
Запретить дайджест-аутентификацию	Включено
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Пересылка событий
Настроить целевой менеджер подписки	Включено Менеджеры подписки: <server = logserver.yourdomain: 5985>
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Группы с ограниченным доступом
Добавьте группу «Читатели журнала событий» с помощью СЕТЕВОЙ СЛУЖБЫ.

Конфигурация сервера​

Сервер сбора журналов требует, чтобы служба сборщика событий Windows работала, WinRM был настроен как сервер, а брандмауэр был настроен соответствующим образом. Это реализуется с помощью следующих параметров групповой политики, которые должны применяться к серверам сбора журналов как отдельный объект групповой политики.

Настройка групповой политики	Вариант рекомендации
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Системные службы
Удаленное управление Windows (WS-Management)	Режим запуска: автоматический
Сборщик событий Windows	Режим запуска: автоматический
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Брандмауэр Windows с повышенной безопасностью \ Правила для входящих подключений
Удаленное управление Windows (HTTP-вход)	(Щелкните правой кнопкой мыши) «Новое правило…», выберите «Предопределено», затем «Удаленное управление Windows». Нажмите «Далее» и убедитесь, что правила будут созданы. Нажмите «Далее» и убедитесь, что установлен параметр «Разрешить соединение». Щелкните "Готово".
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Удаленное управление Windows (WinRM) \ Служба WinRM
Разрешить удаленное управление сервером через WinRM	Включено Фильтр IPv4: * (или диапазон (диапазоны) частных IP-адресов для сети)
Укажите уровень защиты токена привязки канала	Включено Уровень закалки: строгий
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Удаленная оболочка Windows
Разрешить удаленный доступ к оболочке	Выключено
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя
Доступ к этому компьютеру из сети	Если для этого параметра было изменено значение по умолчанию и он не включает группу «Все» или «Прошедшие проверку», убедитесь, что включены как минимум компьютеры домена и контроллеры домена.

Установка размера пересылаемого журнала​

Чтобы установить размер журнала пересылки:

• откройте средство просмотра событий (eventvwr.msc) на сервере сбора журналов в качестве администратора
• выберите журнал переадресованных событий и нажмите «Свойства».
• установите максимальный размер журнала около 2 ГБ (2097152 КБ)
• нажмите "ОК".

Добавление подписок​

Для сбора каждой категории событий необходимо добавить и активировать соответствующую подписку. Подписки содержат фильтры запросов, которые пересылают события, представляющие потенциальный интерес. В некоторых случаях фильтры запросов основаны на полных путях, и их необходимо изменить, если используются нестандартные пути или диски.
Чтобы добавить подписку:

• войдите на сервер сбора журналов в качестве администратора
• скопируйте предоставленную папку событий на сервер сбора журналов
• открыть PowerShell ( powershell.exe )
• перейдите в каталог событий в консоли PowerShell
• запустите ./add_subscriptions.ps1. Если ошибка возвращается из-за политики выполнения сценария PowerShell, запустите powershell -exec bypass ./add_subscriptions.ps1. Обратите внимание, что ошибки могут быть возвращены, так как исходные узлы или группы компьютеров не определены, это будет разрешено путем выполнения следующих инструкций.

Теперь должна быть загружена конфигурация по умолчанию, и необходимо добавить группы компьютеров, чтобы включить подписки в домене. Как правило, это будет включать в себя оба домена компьютеров и контроллерами доменов группы. Его можно настроить для включения или исключения определенных компьютеров или групп.
Для того, чтобы подписаться на домен Компьютеры и Контроллеры домена группы для всех подписок:

• войдите на сервер сбора журналов в качестве администратора
• открыть PowerShell ( powershell.exe )
• перейдите в каталог событий в консоли PowerShell
• запустите ./ set_subscriptions_source.ps1. Если ошибка возвращается из-за политики выполнения сценария PowerShell, запустите powershell -exec bypass ./ set_subscriptions_source.ps1.

При желании исходные хосты или группы компьютеров для конкретной подписки можно редактировать:

• войдите на сервер сбора журналов в качестве администратора
• откройте средство просмотра событий (eventvwr.msc)
• нажмите «Подписки», в котором будут перечислены все добавленные подписки, и выберите желаемую подписку. Обратите внимание, что начальная ошибка может быть возвращена, так как служба «Сборщик событий Windows» должна быть настроена и запущена, хотя служба должна работать с указанной выше конфигурацией групповой политики. Нажмите "Да".
• нажмите «Свойства»
• нажмите «Выбрать группы компьютеров»
• добавьте желаемые группы компьютеров или отдельные хосты с помощью «Добавить компьютеры домена». Также можно по желанию исключить хосты или группы компьютеров. По завершении нажмите "ОК".
• нажмите «ОК».

Чтобы ускорить тестирование изменений подписок, вы можете заставить узлы выполнять обновление групповой политики, запустив gpupdate / force на узлах Windows, которые пересылают события. Подписки также можно просматривать и редактировать с помощью интерфейса средства просмотра событий (eventvwr.msc). Это включает в себя включение или отключение подписок или обновление фильтров.
По умолчанию подписки разрешены для чтения существующих событий в архиве журналов. Это может привести к пересылке большего количества событий, чем среднее, и создать дополнительную нагрузку на сеть, где хосты Windows пересылают события впервые. ReadExistingEvents подписных настройки могут быть изменены для каждой подписки, чтобы включить или отключить переадресацию предыдущих событий с помощью утилиты командной строки wecutil .

Проверка и отладка​

Чтобы убедиться, что журналы событий пересылаются на сервер сбора журналов:

• войдите на сервер сбора журналов в качестве администратора
• открыть средство просмотра событий (eventvwr.msc)
• нажмите "Журналы Windows"
• щелкните "Перенаправленные события".

В качестве альтернативы вы можете просмотреть, какие хосты отправляют данные по подписке:

• войдите на сервер сбора журналов в качестве администратора
• открыть средство просмотра событий (eventvwr.msc)
• нажмите "Подписки"
• выберите подписку и нажмите «Состояние выполнения».

Для диагностики потенциальных ошибок сервер сбора событий имеет журнал EventCollector (Microsoft-Windows-EventCollector / Operational), а клиенты имеют журнал Eventlog-ForwardingPlugin (Microsoft-Windows-Forwarding / Operational). Эти журналы пересылаются там, где это возможно, и к ним также можно получить доступ с помощью средства просмотра событий (eventvwr.msc) и перехода в Applications и ServicesLogs / Microsoft / Windows.

Архивирование​

События следует архивировать, если они не собираются перенаправляться в безопасное централизованное средство ведения журнала. Регулярное резервное копирование архивных журналов сервера сбора событий может помочь снизить риск потери данных.
Чтобы гарантировать, что все перенаправленные события архивируются на сервере сбора событий:

• войдите на сервер сбора журналов в качестве администратора
• открыть средство просмотра событий (eventvwr.msc)
• выберите журнал переадресованных событий и нажмите «Свойства».
• нажмите "Архивировать журнал при заполнении, не перезаписывать события"
• нажмите "ОК".

При желании может быть установлен альтернативный путь к журналу. Это полезно в ситуациях, когда файлы журнала хранятся на отдельном диске большой емкости. Путь должен сначала иметь список управления доступом, определенный для папки, чтобы соответствовать разрешениям на пути к журналу событий Windows по умолчанию, как указано ниже:

• Журнал событий: просмотр папки, список папок, чтение атрибутов, чтение расширенных атрибутов, создание файлов, создание папок, запись атрибутов, запись расширенных атрибутов, удаление вложенных папок и файлов, разрешения на чтение
• Система: Полный контроль
• Администраторы: Полный контроль.

Чтобы настроить журнал переадресованных событий на использование альтернативного пути:

• войдите на сервер сбора журналов в качестве администратора
• открыть средство просмотра событий (eventvwr.msc)
• выберите журнал переадресованных событий и нажмите «Свойства».
• установите альтернативный путь к журналу (например, D: \ Logs \ ForwardedEvents.evtx ) и нажмите «ОК».

Организации должны надлежащим образом защитить свои архивы журналов событий Windows, чтобы только авторизованные пользователи и службы могли получить доступ к этим файлам. Несанкционированный доступ к этим файлам может предоставить злоумышленнику конфиденциальную информацию или возможность удалить или изменить журналы событий.
Когда журнал ForwardedEvents заполнится, будут созданы архивные файлы. Это должно произойти, когда их размер составляет примерно 2 ГБ. По умолчанию это будет % SystemRoot% \ System32 \ winevt \ Logs и будет иметь формат, аналогичный Archive-ForwardedEvents-2016-05-18-05-23-46-723
Со временем архивные журналы будут создаваться, а не перезаписываться или удаляться. Для сервера необходимо выделить достаточное дисковое пространство и контролировать использование диска. Рекомендуется создать процедуру для резервного копирования или перемещения архивных журналов на регулярной основе или при достижении емкости диска.

Дальнейшая информация​

Ссылки на внешние источники и дополнительную информацию о регистрации и пересылке событий Windows можно найти по адресу:

• Обнаружение противника с помощью мониторинга журнала событий Windows (версия 2) https://apps.nsa.gov/iaarchive/library/reports/spotting-the-adversary-with-windows-event-log-monitoring.cfm
• Руководство Агентства национальной безопасности по пересылке событий Windows и мониторингу журнала событий Windows https://github.com/nsacyber/Event-Forwarding-Guidance
• Параметры расширенной политики аудита безопасности https://docs.microsoft.com/en-au/wi...iting/advanced-security-audit-policy-settings
• Используйте пересылку событий Windows, чтобы помочь с обнаружением вторжений https://docs.microsoft.com/en-au/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection
• Sysmon v11.10 https://docs.microsoft.com/en-au/sysinternals/downloads/sysmon
• Как перейти от ответа к охоте с помощью Sysinternals Sysmon, https://www.rsaconference.com/industry-topics/presentation/how-to-go-from-responding-to-hunting-with-sysinternals-sysmon
• Мониторинг того, что важно - пересылка событий Windows для всех (даже если у вас уже есть SIEM.) https://docs.microsoft.com/en-au/archive/blogs/jepayne/monitoring-what-matters-windows-event-forwarding-for-everyone-even-if-you-already-have-a-siem
• Мониторинг клиентов DIY - настройка многоуровневой пересылки событий https://docs.microsoft.com/en-au/archive/blogs/canberrapfe/diy-client-monitoring-setting-up-tiered-event-forwarding
• Что нового в Windows 10 версий 1507 и 1511 https://docs.microsoft.com/en-au/windows/whats-new/whats-new-windows-10-version-1507-and-1511#security-auditing
• Рекомендуемые настройки для размеров журнала событий в Windows https://docs.microsoft.com/en-au/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd349798(v=ws .10)
• Часто задаваемые вопросы по расширенному аудиту безопасности https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff182311(v=ws.10)
• Повышение прозрачности благодаря ведению журнала PowerShell https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html
• Рекомендации Microsoft по безопасности 3004375 https://docs.microsoft.com/en-au/security-updates/SecurityAdvisories/2015/3004375
• Консультации по безопасности Microsoft: Обновление для улучшения аудита командной строки Windows: 10 февраля 2015 г. https://support.microsoft.com/en-au/help/3004375/microsoft-security-advisory-update-to-improve-windows-command-line-aud
• Обнаружение инцидентов безопасности с помощью журналов событий Windows Workstation https://www.sans.org/reading-room/whitepapers/logging/detecting-security-incidents-windows-workstation-event-logs-34262
• Криминалистическая экспертиза входа в Windows https://www.sans.org/reading-room/whitepapers/forensics/windows-logon-forensics-34132
• Обнаружение сложных угроз с помощью Sysmon, WEF и ElasticSearch https://www.root9b.com/sites/default/files/whitepapers/R9B_blog_005_whitepaper_01.pdf
• Атаки на инфраструктуру публикации программного обеспечения и возможности обнаружения Windows https://www.first.org/resources/papers/conf2016/FIRST-2016-101.pdf
• Обнаружение бокового движения посредством отслеживания журналов событий Windows https://www.jpcert.or.jp/english/pub/sr/20170612ac-ir_research_en.pdf