Logboekverzameling op afstand op Windows en Linux
Elke onderneming moet logboekgegevens verzamelen en controleren van apparaten in hun hele netwerk voor de beveiliging te garanderen, operationele problemen op te lossen en forensische analyse uit te voeren op beveiligingsincidenten. Hiervoor kunnen ze vertrouwen op een hulpprogramma voor logboekbeheer of een SIEM-oplossing. Ongeacht het hulpprogramma dat wordt gebruikt, is het verzamelen van logboeken op een gecentraliseerde locatie, moeilijker dan het lijkt. Logboekverzameling is even belangrijk en moeilijk als elk ander logboekbeheerproces, van het configureren van de apparaten tot het verzenden van logboekgegevens naar de centrale server.
Er zijn voornamelijk twee methoden voor het verzamelen van logboekgegevens: op agent gebaseerd en agentloos. Op agent gebaseerde logboekverzameling vereist de installatie van een agent op elke machine die de logboekgegevens verzamelt en doorstuurt van het apparaat naar de centrale server. Wanneer u logboekgegevens verzamelt van een beveiligd netwerk, wordt logboekverzameling op basis van agent gebruikt. In andere omstandigheden krijgt deze methode geen voorkeur omdat deze moeilijk te beheren is. Ondernemingen geven er dus de voorkeur aan de logboeken zelf door te sturen en op het ogenblik van de logboekverzameling op afstand.
Wanneer het gaat over netwerkapparaten, Linux/Unix-machines, kunnen de syslog-gegevens worden vastgelegd met de functie Logboek doorsturen die beschikbaar is op het systeemeigen platform. Voor het op afstand verzamelen van Windows-gebeurtenislogboeken, is de procedure iets verschillend.
Op deze pagina wordt uitgelegd welke stappen nodig zijn om syslog-gegevens op afstand te verzamelen met een Syslog-server.
Hoe kunnen logboeken op afstand worden verzameld met de Syslog-server?
Het op afstand verzamelen van syslogs is een relatief eenvoudig proces van twee stappen: het configureren van de externe server die alle logboekgegevens centraal verzamelen en het configureren van de apparaten voor het verzenden van logboekgegevens naar de externe server.
Stap 1: De externe server configureren
Om een syslog-server configureren voor het op afstand verzamelen van logboeken,
Stap 2: Configureer de syslog-apparaten
Hoe kan ik op Windows-gebeurtenislogboeken op afstand verzamelen?
Er zijn meerdere manieren om op afstand toegang te krijgen tot Windows-gebeurtenislogboeken en het verzamelen ervan.
- Met API-oproepen die EvtOpenSession gebruiken om een externe verbinding tot stand te brengen en functies van het gebeurtenislogboek van oproepen.
- Het tot stand brengen van externe sessies via WMI en het uitvoeren van WMI-taken voor het verzamelen van gebeurtenislogboeken.
- Verzamelen van en toegang tot gebeurtenislogboeken via de UI van Logboeken op een Active Directory-account met machtigingen voor het lezen van gebeurtenislogboeken.
Vereisten voor het op afstand verzamelen van Windows-gebeurtenislogboeken:
Voor toegang tot en verzamelen van gebeurtenislogboeken met de UI van Logboeken, hebt u een Active Directory-serviceaccount met specifieke machtigingen nodig om toegang te krijgen tot Windows-gebeurtenislogboeken. Deze machtigingen kunnen worden verleend via het Lokale beveiligingsbeleid of Groepsbeleidsobject (GPO) in het domein.
Hieronder vindt u de vereiste stappen om op afstand toegang te krijgen tot en verzamelen van Windows-gebeurtenislogboeken.
Serviceaccounts maken en de vereiste machtigingen leveren
- Een serviceaccount maken en deze configureren op de externe verzamelaar. Een andere optie is een account hebben op de computer van de verzamelaar die correct toegang heeft, zodat u geïntegreerde AD-verificatie kunt gebruiken voor de logboekverzameling.
- Voeg de account toe aan de volgende ingebouwde domeingroepen:
- Lezers gebeurtenislogboeken
- Gedistribueerde COM-gebruikers
- Geef de serviceaccount rechten voor 'Controle en beveiligingslogboek beheren'. Dit kan gebeuren door het maken van een GPO of het gebruiken van het lokale beveiligingsbeleid.
- Rechten verlenen met 'lokaal beveiligingsbeleid'
- Navigeer doorheen het volgende: Computerconfiguratie >> Windows-instellingen >> Beveiligingsinstellingen >>Lokaal beleid >> Toewijzing gebruikersrechten
- Onder Toewijzing gebruikersrechten gaat u naar Controle- en beveiligingslogboeken beheren en voegt u de serviceaccount toe aan de lijst.
- Als u logboeken op afstand wilt verzamelen via het WMI-protocol, geeft u deze account WMI-toegang door de onderstaande stappen te volgen:
- Open 'wmimgmt' en klik met de rechtermuisknop -> Eigenschappen > Beveiliging -> Geavanceerd.
- Geef de serviceaccount machtigingen voor “Methoden uitvoeren”, “Schrijftoegang tot providerobjecten”, “Account inschakelen”, “Op afstand inschakelen”.
- Geef registermachtigingen voor deze account.
- Open Regedit -> Lokale machine ->
System\CurrentControlSet\ Services\eventlog\Security -> klik met de rechtermuisknop -> machtigingen en voeg de serviceaccount toe.
- Wijs DCOM-rechten toe en verleen machtigingen op c:\windows\system32\winevt voor de serviceaccount.
De serviceaccount kan nu alle logboeken lezen vanaf elk deel van het domein via de UI van Logboeken. Nog maar enkele stappen.
- Verbinding inschakelen: Bewerk de Windows-firewallregels op de machine waarop de serviceaccount zich bevindt
- Navigeer naar Inkomende regels en schakel Extern Event Log-beheer (RPC) in
- Controleer of het protocol en profiel respectievelijk zijn opgegeven als 'TCP' en 'Domein'
- Windows Collector-service inschakelen: U moet de collector-service inschakelen op de externe server ervoor om de logboekbestanden te ontvangen. Hiervoor meldt u zich aan bij de externe server als een lokale of domeinbeheerder en voert u de volgende opdracht uit in cmd. exe.
- Domeincomputer met externe verbinding inschakelen: Windows Remote Management (WRM) is een protocol dat wordt gebruikt voor het uitwisselen van informatie tussen systemen in het domein. Voor het op afstand verzamelen van logboeken, moet u dit protocol inschakelen op elk apparaat om het uitwisselen van logboekgegevens mogelijk te maken. Om WRM-protocol in te schakelen, meldt u aan bij de broncomputers als een lokale of domeinbeheerder en voert u de onderstaande opdracht uit.
- Abonnement inschakelen in Windows: Abonnementen definiëren de relatie tussen het bronapparaat en de verzamelaar, de externe server. Een verzamelaar kan logboekgegevens gegevens ontvangen van alle apparaten in het netwerk of van een specifieke set apparaten. Om het abonnement van de domeincomputers in te schakelen op de machine die externe logboeken verzamelt, volgt u de onderstaande stappen.
- Kies voor Logboeken >> Abonnementen >> Acties >> Abonnement maken.
- In het dialoogvenster Abonnementeigenschappen,
- Geef de naam op voor het abonnement
- Geef de beschrijving op
- Kies in 'Doellogboeken' voor 'Doorgestuurde gebeurtenissen'
- Kies Abonnementstype als 'Door verzamelaar gestart' als de logboeken worden verzameld via de externe server van de respectieve bronnen. In dit geval hebt u een serviceaccount nodig met geschikte machtigingen voor het verzamelen van logboeken. Raadpleeg stap 5 voor details over het maken van de serviceaccount en het toewijzen van machtigingen. Als u kiest voor 'Bron gestart', zal het bronapparaat de systeemeigen technieken voor logboek doorsturen om de logboeken door te sturen naar de verzamelaar.
- Klik op 'Computers selecteren' en 'Domeincomputers toevoegen' in het volgende dialoogvenster.
- Typ de naam van de broncomputer, klik op 'Namen controleren' en als deze zijn gevonden, klikt u op OK.
- Klik op OK om terug te keren naar 'Abonnementseigenschappen'
- Klik op Gebeurtenissen selecteren om de queryfilter te openen.
- Geef het tijdsinterval waarmee de logboeken moeten worden verzameld op in de vervolgkeuzelijst 'Geregistreerd'
- Selecteer het type gebeurtenislogboeken, Kritiek, Waarschuwing, Uitgebreid, Informatie en Fout, die u wilt verzamelen
- Kies in de vervolgkeuzelijst hoe u logboeken wilt verzamelen vanaf de bron, 'Op logboek' of 'Op bron', afhankelijk van uw vereisten.
- Klik op de knop 'Geavanceerde abonnementsinstellingen' om uw logboekverzameling fijn af te stemmen. Hier kunt u de gebruikersaccount opgeven die kan worden gebruikt voor het op afstand verzamelen van de logboekgegevens voor het minimaliseren van de bandbreedte, latentie of het kiezen van een normale logboekverzamelingsmethode, protocol en poort, gebruikt voor de logboekverzameling.
Verzamel en controleer externe logboek op effectieve wijze voor Windows- en Linux-systemen.
Get Your Free Trial