[Cortex XDR/XSIAM]Broker VMを使用したドメインコントローラーのイベントログ取り込み - Windows Event Collector

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
L4 Transporter
評価なし

 

はじめに

 

この記事ではBroker VMのWindows Event Collector(WEC)を使用して、

Windowsサーバー(ドメインコントローラー)のイベントログを収集する方法について説明します。

Windowsのイベントログは、Windows OSのWindows Event Forwarding(WEF)により、

HTTPSでBroker VM(WEC)へ転送され、その後Cortex XDRに取り込まれます。


WEFについてはこちらを参照ください。

 

Analytics

 

WECを使用することでIdentity AnalyticsなどによるID脅威保護に使用することが可能になります。

WECによって収集したデータによるAnalyticsはこちら から確認できます。

 

Broker VMの設定と証明書のエクスポート

 

 

Broker VMの設定画面から対象のBroker VMを選択し、

[Add App] - [Windows Event Collector]を選択します。

AddApp-WEC.png

 

 

"Collected Events"を見ると、Sourceに"Security"という名前でデフォルトの収集対象のイベントレベル、イベントIDが選択されています。

収集対象のイベントIDが他にある場合はこの画面で追加しますが、ここでは行いません。

TLS Version 1.2を選択し、[Activate]をクリックします。

CollectedEvents.png

 

 

Activateされ、"Subscription Manger Url"が生成されます。この内容をコピーして控えておきます。

Windows OS側で実施するサブスクリプションマネージャーの登録で必要になります。

SubscriptionManagerUrl.png

 

 

"Define Client Certificate Export Password"にパスワードを入力します。

この後のダウンロードする証明書をWindowsサーバにインポートする際に必要になるので、

こちらも控えておきます。

[Download]をクリックします。

DefineClientCertExporPassword.png

 

 

証明書がダウンロードされたのでこれを対象サーバーにコピーします。

exported-pfx.png

 

 

ドメインコントローラーの設定

 

証明書のインポート

 

Broker VMからエクスポートした証明書をダブルクリックします。

massaito_0-1682340423454.png

 

 

"ローカルコンピューター"を選択して「次へ」

massaito_1-1682340443722.png

 

 

ファイル名に対象の証明書のファイルパスが定義されているのを確認して、

「次へ」

massaito_2-1682340456197.png

 

"証明書の信頼に基づいて・・・"を選択して「次へ」

 

massaito_3-1682340469101.png

 

 

「完了」をクリックします。

massaito_4-1682340483677.png

 

 

「OK」をクリックします。

massaito_5-1682340495024.png

 

 

 

続いて登録の確認を行います。

「個人」-「証明書」

massaito_6-1682340591985.png

 

「信頼されたルート証明機関」-「証明書」

massaito_7-1682340602778.png

 

 

Network Serviceをグループに追加

 

[個人]-[証明書]から証明書を右クリックし、

[すべてのタスク]-[機密キーの管理]をクリックします。

massaito_8-1682342383432.png

 

 

NETWORK SERVICEを追加し、[適用]、[OK]をクリックします。

massaito_9-1682342417439.png

 

 

ローカルグループ Event Logs Groupの追加

 

Powershelで以下の通りコマンドを実行します。

massaito_10-1682342435367.png

 

wevtutilコマンドの実行

 

Powershelで以下の通りコマンドを実行し、channelAccessに定義された値を控えておきます。

massaito_12-1682342576525.png

 

以下のコマンドで、控えておいた値を設定しwevtutilコマンドを実行します。

 

wevtutil sl security "/ca:<channelAccess value>(A;;0x1;;;S-1-5-20)"

massaito_0-1682669205739.png

 

グループポリシーの作成

 

 [フォレスト]-[ドメイン]-[自社のドメイン]-[グループポリシーオブジェクト]を右クリックし[新規]をクリックします。

massaito_1-1682670105710.png

 

 

Windows Event Forwardingという名前を入力し、[OK]をクリックします。

massaito_15-1682342851034.png

 

 

作成したWindows Event Forwardingグループポリシーを右クリックし[編集]をクリックします。

massaito_2-1682670149180.png

 

 

[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティ設定]-[システムサービス]から

Windows Remote Management(WS-Management)をクリックします。

massaito_17-1682343032629.png

 

 

[このポリシーの設定を定義する]にチェックを入れ、[自動]を選択し、

[適用]、[OK]をクリックします。

massaito_18-1682343076533.png

 

 

[コンピューターの構成]-[ポリシー]-[管理用テンプレートローカルコンピューター]-[Windowsコンポーネントから

[イベント転送]をクリックします。

massaito_19-1682343112690.png

 

 

[ターゲットサブスクリプションマネージャーを構成する]を右クリックし[編集]をクリックします。

massaito_20-1682343142879.png

 

 

[有効]にチェックし、[表示]をクリックします。

massaito_21-1682343156417.png

 

 

Broker VMで生成されたSubscription Manger Urlを値に設定し[OK]をクリックします。

 

massaito_22-1682343209652.png

 

 

[コンピューターの構成]-[基本設定-[コントロールパネルの設定]-[ローカルユーザーとグループ]-

[新規作成]-[ローカルグループ]をクリックします。

massaito_23-1682343268809.png

 

 

グループ名で[Event Log Readers(ビルトイン)を入力し、

メンバーに[Network Service]を追加します。

massaito_3-1682671091010.png

 

Firewallの作成

 

必要に応じてアウトバウンドルール(送信の規則)に、TCP、リモートポート[5986]を設定したルールを追加してください。

massaito_1-1682343701091.png

 

 

グループポリシー(Windows Event Forwarding)の適用

 [フォレスト]-[ドメイン]を右クリックし[既存のGPOのリンク]をクリックします。

massaito_2-1682343788839.png

 

グループポリシーオブジェクトからWindows Event Forwardingを選択し[OK]をクリックします。

massaito_3-1682343831221.png

 

 

gpupdate /forceでポリシーを更新します。

massaito_4-1682343859359.png

 

イベント転送確認のためGet-WinEventコマンドを実行します。

"WSManの操作 EventDeliveryが正常に完了しました"というメッセージが表示されれば、

正常にイベントが転送されことの確認になります。

massaito_6-1682343933330.png

 


 

 

Broker VMの確認

Windows Event CollectorでLogs Received, Logs Sentでlps(logs per seconds)が表示されることを確認します。

massaito_7-1682343999812.png

 

 

 

XQLクエリで確認

 

datasetはmicrosoft_windows_rawになります。以下のように検索してみて、

ログが取り込まれていることを確認してください。

massaito_8-1682344089094.png

 

 

 

massaito_9-1682344145144.png

 

massaito_10-1682344237436.png

 

massaito_0-1682672574361.png

 

他のサーバのイベントログを収集する場合

この手順ではドメイン配下にグループポリシーを適用しています。

特定のサーバーのログを収集したい時は、該当サーバー上でドメインコントローラ同様に、

上記手順内の

・証明書のインポート

Network Serviceをグループに追加

 ・ローカルグループ Event Logs Groupの追加

 ・wevtutilコマンドの実行

の操作が必要になります。

 

Tech Doc

 

Broker VMのアクティベートはこちら

 

 

 

 

 

 

この記事を評価:
  • 2570 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎05-14-2024 11:02 PM
更新者: