Comments 3
консолидация данных на выделенном узле. На этом узле должна быть запущена служба Windows Event Collector. В итоге события будут отображаться в журнале Forwarded Events.
Всё бы ничего, если б на этот механизм можно было всерьез полагаться. На практике имеем, что Log Forwarding постоянно отваливается, причем не генерируя никаких событий — просто перестают поступать данные с хоста, и всё. После отключения/включения подписки все восстанавливается, но толку-то…
Хорошая штука, в принципе. Потом это всё собирать мониторингом куда-нибудь вне досягаемости этого сервера, и если что, можно будет восстановить, кто, куда и зачем. Ну или rsyslog'ом, у виндов есть решение для централизованного аудита. Если оно нормально работает, конечно.
Можно в SIEM собирать и анализировать уже там. У этих ребят есть уже готовое решение для ArcSight & Splunk. По идее, скоро и для QRadar будет.
alekbr, можешь более детально рассказать.
alekbr, можешь более детально рассказать.
Sign up to leave a comment.
Sysmon для безопасника. Расширяем возможности аудита событий в Windows