Raccolta da remoto dei registri Windows e Linux

Ogni azienda ha bisogno di raccogliere e monitorare i dati dei registri dai dispositivi dell'intera rete per garantire la sicurezza, risolvere i problemi operativi ed effettuare analisi forensi degli incidenti di sicurezza. Per raggiungere questo obiettivo, le aziende possono affidarsi a uno strumento di gestione dei registri o a una soluzione SIEM. Qualsiasi sia lo strumento utilizzato, la raccolta dei registri in un luogo centralizzato è più difficile di quanto sembri. Dalla configurazione dei dispositivi all'invio dei dati di registro al server centrale per garantire la sicurezza del trasferimento dei registri, la raccolta dei registri è importante quanto ogni altro processo relativo alla gestione dei registri.

I due metodi più utilizzati per la raccolta dei dati dei registri sono quelli con e senza agenti. La raccolta dei registri basata su agenti richiede l'installazione di un agente in ogni macchina che raccolga e inoltri i dati dei registri dal dispositivo al server centrale. Quando la raccolta dei dati dei registri avviene da una rete protetta, viene utilizzato il sistema basato su agenti. In altre circostanze, questo metodo non è consigliato perché è di difficile gestione. Le aziende preferiscono l'inoltro dei registri nativi e a volte la raccolta da remoto dei registri.

Quando si tratta di dispositivi di rete e macchine Linux/Unix, i dati di syslog possono essere acquisiti utilizzando la funzionalità di inoltro dei registri disponibile nella piattaforma nativa. Tuttavia, per la raccolta da remoto dei registri degli eventi Windows, la procedura è un po' diversa.

La pagina spiega la procedura necessaria per la raccolta da remoto dei dati di syslog utilizzando un server Syslog.

Come raccogliere da remoto i registri utilizzando un server Syslog?

La raccolta da remoto dei syslog è un processo relativamente semplice, composto da due passi: configurazione dei server remoto che raccoglie centralmente tutti i dati dei registri e configurazione dei dispositivi per inviare i dati dei registri al server remoto.

Passo 1: Configurazione del server remoto

Per configurare un server Syslog per la raccolta da remoto dei registri,

  • aggiungi ciò che segue al file /etc/rsyslog.conf nella cartella /var/log del server.

    $ModLoad imtcp.so

    $InputTCPServerRun 514

    514 è il numero di porta TCP attraverso la quale il server Syslog riceve i dati dei registri.

  • Crea un modello di variabili per garantire che i registri raccolti dai vari host non vengano confusi tra loro. Aggiungi ciò che segue al file /etc/rsyslog.conf:

    $template

    DynamicFile,"/var/log/loghost/%HOSTNAME%/%syslogfacility-text%.log"

    *.* -?DynamicFile

  • Aggiungi la voce più in basso al file di configurazione /var/logrotate.d/ syslog per garantire che i nuovi file di registro facciano parte della rotazione dei registri:

    /var/log/loghost/*/*.log

  • Assegna un IP statico al server remoto. Questa operazione aiuta i dispositivi a contattare e inviare in modo costante i dati dei registri al server remoto.
  • Controlla che il tuo firewall permetta l'accesso alla porta TCP 514 aggiungendo le seguenti regole:

    # systemctl restart rsyslog

    # firewall-cmd --add-port=514/udp --permanent

    # firewall-cmd --add-port=514/tcp --permanent

    # firewall-cmd --reload

Passo 2: Configurazione dei dispositivi di syslog

  • Aggiungi ciò che segue alla sezione delle regole del file /var/rsyslog.conffile

    *.* @@<Indirizzo IP del server dei registri>:514

    <Indirizzo IP del server dei registri> fa riferimento all'indirizzo IP statico del tuo server Syslog e 514 è la porta TCP attraverso la quale i dati dei registri vengono inviati.

Come raccogliere da remoto i registri degli eventi Windows?

Esistono diversi modi per accedere da remoto e raccogliere i registri degli eventi Windows.

  • Utilizzare le chiamate API che prevedono che EvtOpenSession stabilisca una connessione remota e richiamare le funzioni dei registri degli eventi.
  • Stabilire sessioni remote mediante WMI ed eseguire le attività WMI per la raccolta dei registri degli eventi.
  • Raccogliere e accedere ai registri degli eventi mediante l'interfaccia utente di visualizzazione degli eventi su un account Active Directory con l'autorizzazione alla lettura dei registri degli eventi.

Prerequisiti per la raccolta da remoto dei registri degli eventi Windows:

Per accedere e raccogliere i registri degli eventi mediante l'interfaccia utente di visualizzazione degli eventi, hai bisogno di un account di servizio Active Directory autorizzazioni specifiche per accedere ai registri degli eventi Windows. Queste autorizzazioni possono essere fornite mediante un criterio di sicurezza locale o un oggetto criteri di gruppo (Group Policy Object, GPO) nel dominio.

Questa è la procedura da seguire per accedere e raccogliere da remoto i registri degli eventi Windows.

Creazione degli account di servizio e autorizzazioni necessarie

  • Crea un account di servizio e configuralo sullo strumento di raccolta da remoto. Un'altra opzione è un account sulla macchina di raccolta che abbia la possibilità di accedere e utilizzare l'autenticazione AD integrata per la raccolta dei registri.
  • Aggiungi l'account ai seguenti gruppi di domini predefiniti:
    • Strumenti di lettura dei registri degli eventi
    • Utenti COM distribuiti
  • Fornisci all'account di servizio il privilegio di gestione dei controlli e dei registri di sicurezza. Questa operazione può essere effettuata creando un GPO o utilizzando il criterio di sicurezza locale.
    • Fornisci i privilegi utilizzando il criterio di sicurezza locale
      • Vai al seguente menu: Configurazione del computer >> Impostazioni Windows >> Impostazioni di sicurezza >> Criteri locali >> Assegnazione dei diritti agli utenti
      • Nell'assegnazione dei diritti agli utenti, vai alla gestione dei registri di controllo e di sicurezza e aggiungi all'elenco l'account di servizio.
  • Se vuoi raccogliere da remoto i registri mediante il protocollo WMI, fornisci l'accesso a questo account WMI con la seguente procedura:
    • Apri wmimgmt e fai clic destro -> Proprietà > Sicurezza -> Avanzate.
    • Consenti all'account di servizio di escludere i metodi, fornire accesso in scrittura, abilitare gli account e rimuovere le abilitazioni.
  • Fornisci l'autorizzazione di accesso ai registri per questo account.
    • Apri Regedit -> Macchina locale ->
      System\CurrentControlSet\ Services\eventlog\Security -> clic destro -> Autorizzazioni e aggiungi l'account di servizio.
  • Assegna i diritti DCOM e fornisci le autorizzazioni per l'account di servizio su c:\windows\system32\winevt.

L'account di servizio può ora leggere tutti i registri di ogni parte del dominio tramite l'interfaccia utente del visualizzatore degli eventi. Restano ancora alcuni passi.

  1. Abilitazione della connessione: Modifica le regole del firewall Windows su cui si trova l'account di servizio
    • Vai alle regole in ingresso e abilita la gestione da remoto dei registri degli eventi
    • Controlla che sia impostato TCP come protocollo e Dominio come profilo
  2. Abilitazione del servizio di raccolta di Windows: Devi abilitare il servizio di raccolta sul server remoto affinché possa ricevere i file di registro. Per effettuare questa operazione, accedi al server remoto come amministratore locale o di dominio ed esegui i seguenti comandi in cmd.exe.
  3. wecutil qcin

  4. Abilitazione della connessione remota dei computer del dominio: Windows Remote Management (WRM) è un protocollo utilizzato per lo scambio di informazioni tra i sistemi del dominio. Per la raccolta dei registri remoti, devi abilitare questo protocollo in tutti i dispositivi per agevolare lo scambio dei dati dei registri. Per abilitare il protocollo WRM, accedi ai computer di origine come amministratore locale o di dominio ed esegui il seguente comando.
  5. winrm quick config

  6. Abilitazione della sottoscrizione in Windows: Le sottoscrizioni definiscono il rapporto tra il dispositivo di origine e il server remoto che agisce come strumento di raccolta. Uno strumento di raccolta può ricevere i dati dei registri da tutti i dispositivi della rete oppure da un insieme determinato di dispositivi. Per abilitare la sottoscrizione dei computer del dominio nella macchina remota che agisce come strumento di raccolta, segui questa procedura.
    • Vai al visualizzatore degli eventi >> Sottoscrizioni >> Azioni >> Crea una sottoscrizione.
    • Nel riquadro di dialogo delle proprietà della sottoscrizione,
      • inserisci il nome della sottoscrizione
      • Inserisci una descrizione
      • In "Registri di destinazione", seleziona "Eventi inoltrati"
      • Se i registri vengono raccolti dal server remoto dalle rispettive origini, scegli "Avviato dallo strumento di raccolta" come tipo di sottoscrizione. In questo caso, per raccogliere i registri, hai bisogno di un account di servizio con i privilegi appropriati. Fai riferimento al passo 5 per i dettagli della creazione di un account di servizio e dell'assegnazione delle autorizzazioni. Se scegli "Avviato dall'origine", il dispositivo di origine utilizzerà le tecniche di inoltro dei registri nativi per inoltrarli allo strumento di raccolta.
      • Fai clic su "Seleziona i computer" e su "Aggiungi i computer del dominio" nella seguente finestra di dialogo.
      • Inserisci il nome del computer di origine, fai clic su "Controlla i nomi" e, se viene trovato, fai clic su OK.
      • Fai clic su OK per tornare alle proprietà della sottoscrizione
    • Fai clic su "Seleziona gli eventi" per aprire il filtro della ricerca.
      • Dall'elenco di selezione, seleziona l'intervallo di tempo della raccolta dei registri
      • Seleziona il tipo di registri degli eventi che vuoi raccogliere: Critical, Warning, Verbose, Information o Error
      • Dall'elenco di selezione, in base alle tue esigenze, seleziona il modo in cii vuoi che i registri vengano raccolti dall'origine, per registro oppure per origine.
    • Fai clic sul pulsante delle impostazioni avanzate della sottoscrizione per regolare la raccolta dei tuoi registri. Puoi indicare l'account utente che può essere utilizzato per raccogliere da remoto i dati dei registri e il criterio di ottimizzazione del livello degli eventi per ridurre la larghezza di banda, la latenza o scegliere il metodo di raccolta dei registri e il protocollo e la porta utilizzati per la raccolta dei registri.

Raccolta e monitoraggio efficaci da remoto dei registri per i sistemi Windows e Linux.

Scarica la tua prova gratuita