MS WMI
MS WMI
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в онлайн-справке на продукт:
https://support.kaspersky.ru/kuma/3.4/257568
Описание схемы сбора событий Windows с помощью WMI
Компоненты схемы:
- Источники событий: рабочие станции и серверы Windows.
- Агент KUMA - компонент KUMA, устанавливаемый на выделенный сервер/рабочую станцию. Агент подключается к службе WMI на удаленной рабочей станции/сервере и получает события Windows.
Требования к устройствам для установки агентов:
https://support.kaspersky.ru/kuma/3.4/217889
- Коллектор KUMA - компонент KUMA, обеспечивающий прием/нормализацию/агрегацию/фильтрацию событий, полученных от агента KUMA, и их дальнейшую отправку в коррелятор и/или хранилище KUMA.
Сбор событий с помощью агента WMI рекомендуется использовать в следующих случаях:
- Если отсутствует возможность использовать технологию WEF и WEC-сервер для реализации централизованного сбора событий.
- Если необходимо выполнить сбор событий с небольшого количества хостов - не более 500 хостов для одного агента KUMA.
Настройка политики аудита
По умолчанию на устройствах Windows аудит событий не осуществляется.
Настройка политики аудита на отдельной рабочей станции/сервере
Чтобы настроить политику аудита на отдельной рабочей станции/сервере:
- Запустите оснастку Локальная политика безопасности: нажмите кнопку Win → введите secpol.msc и запустите Локальная политика безопасности от имени администратора.
- Перейдите в политику аудита Локальные политики → Политика аудита.
- Настройте параметры аудита согласно скриншоту (при необходимости включите аудит оставшихся политик).
Настройка политики аудита для группы рабочих станций/серверов средствами GPO
При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ настройки. Ниже описан один из вариантов настройки.
Чтобы настроить политику аудита для группы рабочих станций/серверов средствами GPO:
- Создайте группу компьютеров средствами Active Directory – пользователи и компьютеры, задайте имя группе, например, KUMA WEC. Добавьте в данную группу рабочие станции/серверы, с которых предполагается сбор событий.
- Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), выполните перезагрузку устройства. Альтернативным вариантом может быть перевыпуск Kerberos-тикетов для устройства с помощью klist.exe.
Чтобы настроить политику аудита для группы рабочих станций/серверов средствами GPO:
- Создайте группу компьютеров средствами Active Directory – пользователи и компьютеры, задайте имя группе, например, KUMA WEC. Добавьте в данную группу рабочие станции/серверы, с которых предполагается сбор событий.
- Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), выполните перезагрузку устройства. Альтернативным вариантом может быть перевыпуск Kerberos-тикетов для устройства с помощью klist.exe.
- На контроллере домена запустите оснастку Управление групповой политикой: нажмите Win + R → gpmc.msc.
- Выберите существующий объект групповой политики или создайте новый. В данном примере создается новый объект групповой политики Audit Policy for KUMA: ПКМ Объекты групповой политики → Создать → введите в имени Audit Policy for KUMA.
- Далее выберите созданный объект групповой политики Audit Policy for KUMA и нажмите Изменить.
- В открывшемся окне Редактор управления групповыми политиками перейдите в Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Локальные политики → Политики аудита и настройте параметры аудита согласно скриншоту (при необходимости включите аудит оставшихся политик).
- Далее вернитесь в Управление групповой политикой → выберите объект групповой политики Audit Policy for KUMA → в окне справа Фильтры безопасности удалите группу Прошедшие проверку и добавьте группу KUMA WEC.
- Нажмите ПКМ на домен и выберите Связать существующий объект групповой политики → выберите Audit Policy for KUMA и нажмите ОК.
- Итоговый вид политики должен выглядеть следующим образом (см. скриншот).
В целом, групповые политики Active Directory можно назначать на OU, сайт или весь домен.
Для того, чтобы новые параметры аудита, заданные в GPO, были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях:
- перезагрузка устройства и вход пользователя;
- автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени);
- вручную с помощью команды gpupdate (на рабочей станции/сервере);
- вручную из консоли Group Policy Management Console (на контроллере домена, только для OU);
- вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена).
Для проверки успешного применения GPO запустите оснастку Локальная политика безопасности на одной из рабочих станций/сервере:
- Нажмите WIN+R → введите secpol.msc и запустите Локальная политика безопасности от имени администратора.
- Перейдите в политику аудита Локальные политики → Политика аудита.
- Убедитесь, что параметры аудита соответствуют скриншоту.
