В предыдущей статье я рассказал про интеграцию Wazuh с MISP. Сегодня покажу, как настроить передачу логов Windows в Wazuh с помощью Rsyslog. Это отличный способ для централизованного сбора и анализа событий Windows.
Еще по теме: Использование Wazuh на Raspberry Pi
Что такое Rsyslog и Wazuh
Rsyslog — гибкая система для сбора и обработки логов в Unix-подобных системах. Она позволяет принимать, фильтровать и перенаправлять логи на основе различных критериев. Благодаря своей высокой производительности и расширяемости, Rsyslog может обрабатывать огромные объемы данных и отправлять их на удалённые серверы или сохранять локально. Он поддерживает множество протоколов и форматов, что делает его универсальным инструментом для управления логами в сложных инфраструктурах.
Wazuh — платформа для мониторинга безопасности, которая позволяет обнаруживать угрозы, анализировать события и обеспечивать соответствие стандартам безопасности. Wazuh собирает данные с различных источников, таких как серверы, сети и облачные сервисы, и предоставляет централизованное место для их анализа и обработки. Благодаря интеграции с различными системами, включая Rsyslog, Wazuh может получать и анализировать логи с различных устройств, помогая выявлять потенциальные угрозы и инциденты безопасности в реальном времени.
Передача событий Windows в Wazuh
Для начала необходимо установить Windows Rsyslog и Wazuh stack (в моем случае версии 4.8.1). Эти компоненты станут основой системы мониторинга.
Настройка Wazuh начинается с открытия листенера (слушателя) syslog. Добавьте в конфигурацию следующий блок:
1 2 3 4 |
<remote> <connection>syslog</connection> <allowed-ips>192.168.121.0/24</allowed-ips> </remote> |
Этот код позволит принимать данные syslog. Замените IP-адрес на тот, где находится ваш Windows-сервер. После внесения изменений обязательно перезапустите Wazuh.
Теперь добавим правило для захвата логов. Создадим простое правило без извлечения полей:
1 2 3 4 5 6 |
<group name="Winsyslog,"> <rule id="100410" level="3"> <program_name>WindowsEventSysLog</program_name> <description>Windows syslog event group</description> </rule> </group> |
Правило будет относиться к группе Winsyslog и реагировать на программу с именем WindowsEventSysLog.
Переходим к настройке Rsyslog. Здесь мы добавим тег WindowsEventSyslog, чтобы логи соответствовали созданному правилу Wazuh. Выберите канал Windows, который хотите отслеживать.
Важно указать IP-адрес и порт менеджера Wazuh, где открыто и прослушивается соединение Syslog.
Для использования предварительного декодера Wazuh настройте вывод в формате RFC 3164 с использованием UTF8, включая BOM. После этого можно запускать сбор данных.
В результате все события Windows будут захватываться менеджером Wazuh. Например, вы сможете увидеть логи входа в систему с добавленным тегом.
Этот метод позволит эффективно мониторить события Windows и анализировать их с помощью инструментов Wazuh. Хотя настройка может показаться сложной, результат оправдает усилия. Вы получите централизованную систему сбора и анализа логов, которая значительно упростит управление безопасностью инфраструктуры.
ПОЛЕЗНЫЕ ССЫЛКИ: