Куда я попал?
Настройка централизованного сбора и анализа журналов безопасности Windows
Цель: реализовать регистрацию событий безопасности, включая попытки авторизации, доступ к объектам, изменения конфигурации, действия администраторов и другие.
Мера применима для всех Организаций, использующих инфраструктуру на базе ОС Windows. Мера направлена на защиту от несанкционированных изменений конфигурации, отслеживание попыток несанкционированного доступа и обеспечение подотчетности путём настройки механизмов встроенного аудита операционной системы. Аудит является обязательным элементом для обнаружения инцидентов и последующего расследования.
Рекомендуется установить политику аудита с использованием Group Policy Object (GPO) в домене (в случае использования Active Directory) или через утилиту "gpedit.msc" на уровне локального компьютера.
Порядок действий для перехода к настройкам регистрации событий безопасности Windows:
Мера применима для всех Организаций, использующих инфраструктуру на базе ОС Windows. Мера направлена на защиту от несанкционированных изменений конфигурации, отслеживание попыток несанкционированного доступа и обеспечение подотчетности путём настройки механизмов встроенного аудита операционной системы. Аудит является обязательным элементом для обнаружения инцидентов и последующего расследования.
Рекомендуется установить политику аудита с использованием Group Policy Object (GPO) в домене (в случае использования Active Directory) или через утилиту "gpedit.msc" на уровне локального компьютера.
Порядок действий для перехода к настройкам регистрации событий безопасности Windows:
- Открытие редактора локальной политики безопасности:
- Перейдите в Панель управления → Система и безопасность → Администрирование → Локальная политика безопасности.
- В открывшемся окне в дереве консоли слева перейдите в раздел Конфигурация расширенной политики аудита далее выберите Политики аудита системы.
- Настройка политик аудита:
- В центральной панели отобразятся все категории политик аудита.
- Для каждой необходимой политики дважды щелкните по ней левой кнопкой мыши.
- В открывшемся окне свойств политики установите флажки:
- Успех — для регистрации успешных попыток выполнения действия.
- Отказ — для регистрации неуспешных (отклоненных) попыток.
- Нажмите Применить и ОК.
- Настройка размера журнала безопасности:
- Перейдите в Панель управления → Система и безопасность → Администрирование → Просмотр событий.
- В дереве консоли перейдите: Журналы Windows → Безопасность.
- Правой кнопкой мыши нажмите на журнал Безопасность и выберите Свойства.
- В открывшемся окне «Свойства журнала - безопасность»:
- Установите Максимальный размер журнала не менее 20480 МБ (20 ГБ) или более, в зависимости от нагрузки и требований к периоду хранения (например, 3 месяца).
- Выберите действие при достижении максимального размера: Перезаписывать события по мере необходимости (для непрерывности аудита).
- Нажмите Применить и ОК.
- Применение настроек:
- Настройки, выполненные через Локальную политику безопасности, вступают в силу немедленно или после перезагрузки компьютера.
- Проверка работы:
- После применения настроек сгенерируйте тестовое событие (например, неуспешную попытку входа) и проверьте его наличие в журнале Безопасность через «Просмотр событий».
Рекомендации по настройке политики аудита на базе Windows:
- Вход учетной записи
- Аудит проверки учетных данных → включить "+" → Успех и отказ
- Аудит службы проверки подлинности Kerberos → включить "+" → Успех и отказ
- Аудит операций с билетами службы Kerberos → включить "+" → Успех и отказ
- Управление учетными записями
- Аудит управления группами приложений → включить "+"→ Успех и отказ
- Аудит управления учетными записями компьютеров → включить "+" → Успех
- Аудит управления группами распространения → включить "+" → Успех
- Аудит других событий управления учетными записями → включить "+" → Успех
- Аудит управления группами безопасности → включить "+" → Успех
- Аудит управления учетными записями пользователей → включить "+" → Успех и отказ
- Подробное отслеживание
- Аудит активности DPAPI → включить "+" → Успех и отказ
- PNP-действие аудита → включить "+" → Успех и отказ
- Аудит создания процессов → включить "+" → Успех
- Доступ к службе каталогов (DS)
- Аудит подробной репликации службы каталогов → включить "+" → Успех и отказ
- Аудит доступа к службе каталогов → включить "+" → Успех и отказ
- Аудит изменения службы каталогов → включить "+" → Успех и отказ
- Аудит репликации службы каталогов → включить "+" → Успех и отказ
- Вход/выход
- Аудит блокировки учетных записей → включить "+" → Отказ
- Аудит выхода из системы → включить "+" → Успех
- Аудит входа в систему → включить "+" → Успех и отказ
- Аудит событий входа и выхода → включить "+" → Успех и отказ
- Аудит специального входа → включить "+" → Успех
- Доступ к объектам
- Аудит файловой системы → включить "+" → Успех и отказ
- Аудит других событий доступа к объектам → включить "+" → Успех и отказ
- Аудит реестра → включить "+" → Успех и отказ
- Аудит съемного носителя → включить "+" → Успех и отказ
- Изменение политики
- Аудит изменения политики аудита → включить "+" → Успех
- Аудит изменения политики проверки подлинности → включить "+" → Успех
- Аудит изменения политики авторизации → включить "+" → Успех
- Аудит изменения политики на уровне правил MPSSVC → включить "+" → Успех и отказ
- Использование привилегий
- Аудит использования привилегий, не затрагивающих конфиденциальные данные → включить "+" → Успех и отказ
- Аудит использования привилегий, затрагивающих конфиденциальные данные → включить "+" → Успех и отказ
- Система
- Аудит других системных событий → включить "+" → Успех и отказ
- Аудит изменения состояния безопасности → включить "+" → Успех
- Аудит расширения системы безопасности → включить "+" → Успех
Рекомендации к заполнению карточки:
- Привяжите созданный актив типа групповые политики к данной защитной мере в качестве инструмента.
- Создайте шалон регулярной задачи "Проверка актуальности и корректности применения групповых политик на контроллерах домена, АРМ и серверах".
Область действия: Вся организация
Классификация
Тип
Техническая
?
Детективная
?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Настройка централизованного сбора и анализа журналов безопасности Windows
Последующие меры
| № | Этап 1 | Этап 2 | |||
|---|---|---|---|---|---|
| 1 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Утверждение Регламента выявления компьютерных инцидентов и реагирования на них | |||
| 2 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Утверждение Регламента аудита безопасности в объектах КИИ | |||
| 3 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Утверждение Регламента регистрации событий безопасности в ИС | |||
| 4 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Формирование отчета о событиях ИБ в инфраструктуре |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.