Использование Rsyslog для передачи событий Windows в Wazuh

Компьютерная безопасность icon

В предыдущей статье я рассказал про интеграцию Wazuh с MISP. Сегодня покажу, как настроить передачу логов Windows в Wazuh с помощью Rsyslog. Это отличный способ для централизованного сбора и анализа событий Windows.

Еще по теме: Использование Wazuh на Raspberry Pi

Что такое Rsyslog и Wazuh

Rsyslog — гибкая система для сбора и обработки логов в Unix-подобных системах. Она позволяет принимать, фильтровать и перенаправлять логи на основе различных критериев. Благодаря своей высокой производительности и расширяемости, Rsyslog может обрабатывать огромные объемы данных и отправлять их на удалённые серверы или сохранять локально. Он поддерживает множество протоколов и форматов, что делает его универсальным инструментом для управления логами в сложных инфраструктурах.

Wazuh — платформа для мониторинга безопасности, которая позволяет обнаруживать угрозы, анализировать события и обеспечивать соответствие стандартам безопасности. Wazuh собирает данные с различных источников, таких как серверы, сети и облачные сервисы, и предоставляет централизованное место для их анализа и обработки. Благодаря интеграции с различными системами, включая Rsyslog, Wazuh может получать и анализировать логи с различных устройств, помогая выявлять потенциальные угрозы и инциденты безопасности в реальном времени.

Передача событий Windows в Wazuh

Для начала необходимо установить Windows Rsyslog и Wazuh stack (в моем случае версии 4.8.1). Эти компоненты станут основой системы мониторинга.

Настройка Wazuh начинается с открытия листенера (слушателя) syslog. Добавьте в конфигурацию следующий блок:

Открытие слушателя syslog

Этот код позволит принимать данные syslog. Замените IP-адрес на тот, где находится ваш Windows-сервер. После внесения изменений обязательно перезапустите Wazuh.

Теперь добавим правило для захвата логов. Создадим простое правило без извлечения полей:

Добавление правила для захвата логов Windows

Правило будет относиться к группе Winsyslog и реагировать на программу с именем WindowsEventSysLog.

Переходим к настройке Rsyslog. Здесь мы добавим тег WindowsEventSyslog, чтобы логи соответствовали созданному правилу Wazuh. Выберите канал Windows, который хотите отслеживать.

Настройка Rsyslog Wazuh

Настройка Rsyslog Wazuh

Важно указать IP-адрес и порт менеджера Wazuh, где открыто и прослушивается соединение Syslog.

Настройка Rsyslog Wazuh

Для использования предварительного декодера Wazuh настройте вывод в формате RFC 3164 с использованием UTF8, включая BOM. После этого можно запускать сбор данных.

Настроить Rsyslog Wazuh

В результате все события Windows будут захватываться менеджером Wazuh. Например, вы сможете увидеть логи входа в систему с добавленным тегом.

Отправка событий Windows в Wazuh с помощью Rsyslog

Перенаправление Windows событий в Wazuh с помощью Rsyslog

Этот метод позволит эффективно мониторить события Windows и анализировать их с помощью инструментов Wazuh. Хотя настройка может показаться сложной, результат оправдает усилия. Вы получите централизованную систему сбора и анализа логов, которая значительно упростит управление безопасностью инфраструктуры.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий