Настройка журналирования событий#
Подсистема аудита ПКД реализует централизованный сбор событий служб контроллеров домена в коллекторе, которым выступает сервер аудита, и собранные данные могут в дальнейшем передаваться в систему управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего анализа.
Журнал событий в ПКД для версии 2.0.0 и выше основан на open source решении Syslog-ng и позволяет собирать информацию на сервере журнала событий о следующих событиях безопасности:
логи авторизации Fly;
логи удаленного подключения;
логи состояния подключения к сети.
В ПКД не предусмотрено расширение списка регистрируемых событий средствами графического интерфейса портала управления.
Данный раздел содержит необходимую информацию о действиях администратора и настройках, которые которые необходимо сделать на каждом контроллере домена и сервере аудита под управлением ПКД.
После выполнения этой настройки будет включено журналирование событий и осуществлен сбор журналов на сервере аудита, что позволяет значительно увеличить количество регистрируемых и собираемых на сервере аудита событий безопасности. Кроме того, собираемую на сервере аудите информацию о событиях безопасности можно отправить в стороннюю SIEM.
Перечень событий безопасности, которые собираются в журналах событий на контроллерах домена и информация о которых перенаправляется на сервер аудита с помощью данной инструкции, приведен в таблице.
Перечень событий безопасности, настройка журналирования которых рассматривается в разделе:
Наименование события |
Эквивалент события в Active Directory (при наличии) |
Раздел с описанием |
|---|---|---|
Подключение к рабочему столу Fly |
4624_An_account_was_successfully_logged_on |
|
Ввод некорректных данных аутентификации при подключении к рабочему столу Fly |
4625_An_account_failed_to_log_on |
|
Отключение сессии рабочего стола Fly |
||
Вход (подключение) по SSH |
4624_An_account_was_successfully_logged_on |
|
Ввод некорректных данных аутентификации при подключении по SSH |
4625_An_account_failed_to_log_on |
|
Завершение сессии SSH |
||
Чтение информации из службы каталога |
1644_ldap_query |
|
Создание нового пользователя (группы) в LDAP |
4720_A_user_account_was_created |
|
Изменение пользователя (группы) |
4738_A_user_account_was_changed |
|
Удаление пользователя (группы) |
||
Ввод в домен нового компьютера |
4741_A_computer_account_was_created |
|
Изменение параметров компьютера в домене |
4742_A_computer_account_was_changed |
|
Удаление компьютера из домена |
||
Запрос объекта службы каталога (для CRUD операций) |
4661_The_handle_to_an_object_was_requested |
|
Создание новой реплики путем продвижения сервера до контроллера домена |
4928_Active_Directory_replica_source_naming_context_established |
|
Удаление контроллера домена, в процессе чего удаляется реплика |
4929_Active_Directory_replica_source_naming_context_removed |
|
Добавление и удаление ролей |
5136_A_directory_service_object_was_modified |
|
Доступ к файлам в службе Samba |
5145_A_network_share_object_was_checked |
|
Ошибка при попытке переноса зоны DNS |
6001_dns_server_successfully_completed_transfer_of_zone_version |
|
Успешный перенос зоны DNS |
6001_dns_server_successfully_completed_transfer_of_zone_version |
|
Запрос билета подлинности службы Kerberos |
4768_A_Kerberos_authentication_ticket_was_requested |
|
Запрос билета TGS службы Kerberos |
4769_Kerberos_service_ticket_requested |
|
Сбой при предварительной проверке подлинности Kerberos |
4771_Kerberos_pre_authentication_failed |
|
Создание и запуск нового процесса пользователем |
4688_A_new_process_has_been_created |
|
Подключение к каталогу LDAP |
5156_WFP_has_permitted_connection |
Системные требования#
1. Для корректной работы всех описанных сценариев необходимо, чтобы на всех контроллерах домена и серверах аудита была установлена операционная система Astra Linux 1.7.4 или выше. В операционной системе Astra Linux версий до версии
1.7.4 используются другие версии пакета службы каталога и включение расширенных атрибутов с помощью команды dsconf с опцией config replace nsslapd-auditlog-display-attrs=* невозможно (выполнение завершается ошибкой). Остальные пункты инструкции выполняются без изменений.
Расширенные атрибуты журнала аудита службы каталога — это атрибуты, начинающиеся с символа #.
Для применения настоящей инструкции предварительно необходимо:
выполнить установку ПКД версии 2.0.0 (или выше);
настроить домен под управлением данного продукта;
развернуть подсистему аудита в домене.
В данном разделе приведено описание:
Настройка журналирования событий безопасности на КД и сбор данных журналов на сервере аудита;
Настройка отправки журналов событий с сервера аудита в стороннюю SIEM;
Настройка журналирования на КД, сервере общего доступа к файлам и сервере аудита (только команды).