我们正在建立一个新环境,将来会安装 SIEM 工具等。到目前为止,我们有几十台 Windows 2019 服务器。我的任务是提供解决方案,用于在短期内监控 Windows 服务和事件日志,直到正式工具到位。最好是免费的和微软的,但也欢迎提出建议。这是一个断开连接的环境,没有互联网。提前致谢!
答案1
到目前为止,如果您正在寻找一种用于监控(和收集)Windows 日志的解决方案,直到最终的 SIEM 解决方案到位,我可以建议以下方法:
考虑一个下降技术栈你可以利用收集到的数据执行你想要实现的操作(摄取、索引、研究、警报、仪表板......):
ELK(Elastic/Logstash/Kibana)Graylog(基于弹性)- 其他选择:
HELK, RedELK...
考虑如何收集日志从 Windows 服务器:
- 无代理:使用 Microsoft 的原生解决方案(Windows 事件转发/Windows 事件收集器)。您可以在我的存储库。这允许您在 Windows 中央服务器上收集所有服务器日志。之后,您可以使用最合适的代理将这些日志转发到 SIEM 解决方案(请参阅下一点)。
- 有代理:这取决于您的要求、部署代理和管理代理的能力。对于 12 台服务器,
Winlogbeat或代理解决方案可以帮助您。对于更多服务器,Snare托管NXLog Free代理解决方案将很有帮助。您可以使用 SIEM 提供的代理解决方案(Splunk, ArcSight...)或使用NXLog Pro提供安静高级功能的解决方案。但这取决于您的要求。如果您使用 WEF/WEC,则只需在 WEC 服务器上安装代理。
为了审计激活请注意,Windows 日志的日志详细程度非常低。因此,您需要定义要查找的事件。您可以在网上找到很好的文档,但您也可以查看此项目,它提供了详细指南(包括 GPO)。它将协助您激活设置,以及事件 ID、MITRE TTP 和审计设置之间的映射。
最后考虑一下你范围和数据来源。您打算只加入域控制器还是也加入服务器(推荐)?关于数据源,请考虑您的服务器角色,(ADDS, ADCS, ADFS, OCSP, SQL Server, AOVPN, DHCP, DNS, NPS...因为它们将需要额外的工作。有些角色还会将日志写入日志文件(DNS, DHCP and IIS transactions)。确保它们是您覆盖范围的一部分,以防它们与您相关。
希望这个回答能对你有帮助。