Размеры инфраструктур компаний растут гиперболично с увеличением проектов, предоставляемых услуг и сервисов, а значит и вопрос мониторинга их производительности/безопасности обстоит все острей. Ведь необходимо во время собирать востребованную телеметрию, для реагирования на инциденты среди множества узлов.
В Windows есть собственная подсистема логирования, которая предоставляет нормализованные события о произошедшем, понимание ее работы, позволяет автоматизировать процесс сбора, расширить/сузить пул собираемых событий. В данном материале рассмотрим основные концепты работы подсистемы и ее настройки!
Что такое Eventlog?
Eventlog – это подсистема записи событий операционной системы, позволяющая проводить траблшутинг, расследования инцидентов, мониторинг активности и многое другое. По умолчанию, на устройстве есть определенный список собираемых событий, которые можно просмотреть через Event Viewer – оснастку, для работы с логами.
Все логи разбиты на две глобальные группы Windows Logs и App/Services Logs, где первые генерирует ядро ОС и ее модули, после чего нормализуются в события с номерами. А вторые генерируются приложениями и имеют свои собственный ID, но добавляют контекста в работу машины. Внутри они также разбиты по функциям, которые логируют свои подсистемы!
Найти их можно в формате журналов по пути C:\Windows\System32\winevt\Logs.
Как настроить сбор событий?
Чтобы увеличить, сократить набор собираемых событий с устройства, необходимо перейти в политики, для локального ПК – это локальные политики, для доменного, соответственно, политики на контроллере домена. Фактически ключевое отличие лишь в области применения политик аудита и назначения, некоторые подойдут для АРМ, некоторые только для контроллера домена и т.д.
Среди всех перечисленных можно выделить топ событий, которые важны к логированию для подсистем безопасности на данный момент:
- 4663(S): An attempt was made to access an object;
- 4656(S, F): A handle to an object was requested;
- 4720(S): A user account was created;
- 4731(S): A security-enabled local group was created.
- 4732(S): A member was added to a security-enabled local group.
- 4733(S): A member was removed from a security-enabled local group.
При настройке, политики события можно проставить ключевые метрики, которые нужно отслеживать:
К примеру, только неудачные попытки повышения, которые с большей вероятностью могут быть с меньшим показателем ложноположительной сработки. После того, как политики расписаны необходимо их применить:
После чего, новые события будут фиксироваться уже в журнале, после принудительного применения настроек! Для доменов необходимо указать скоуп или область, которую необходимо применить групповую политику.
Обогащение данных аудита
Можно заметить, что не все данные собранные с приложений, ядра в формате Event Log полны. Это происходит из-за того, что ядро выполняет множество иных задач, а полное логирование привело бы к деградации системы и снижению производительности. Поэтому реализован механизм ETW или Event Tracing for Windows, который использует для хранения данных кольцевые буферы и логирует в разы больше информации.
Обычно, его логи хранятся по пути: C:\Windows\System32\WDI. Для их просмотра необходимо конвертировать формат .etl в .xml.
После чего поиск и работа может происходить через текстовый редактор или можно загрузить изначальный формат в Event Viewer.
Данные механизмы защиты ОС позволяют расширить возможности мониторинга, реагирования на события и инциденты, происходящие в информационных системах. Для выполнения тестов, вы можете использовать изолированную среду VPS сервера, на любой из двух платформ vStack cloud или же VMware cloud. Нажмем на кнопку Создать сервер и выберем конфигурацию, подходящую под наши задачи, затем нажмем кнопку Создать.
Потребуется некоторое время для развертывания серверных мощностей. После чего вы можете подключиться любым из удобных способов.