EventsManager

1. EventsManager

2. План • Установка • Сбор информации • Создание правил • Настройка аудита

3. Установка (1/6) • GFI EventsManager (ESM) может быть установлен на Windows 2000/2003/2008, Windows XP Pro или Vista • Поддерживаются системы 32-bit и 64-bit • Для обработки событий с Windows Vista и 2008, GFI ESM должен быть установлен на машину с Windows Vista или 2008

4. Установка (2/6) • ESM не следует устанавливать на загруженные или ключевые машины • Необходимо учесть количество событий, генерируемое в сети, и рассчитать примерный трафик при условии передачи событий с удаленной машины на сервер ESM • При использовании внешнего SQL сервера для хранения событий, необходимо также учесть трафик от ESM до SQL

5. Установка (3/6) • Чем больше размеры организации, тем больше событий генерируется в сети • В случае большого количества источников событий, рекомендуется устанавливать несколько копий ESM • Не забудьте настроить ESM для уменьшения объема хранимой в SQL информации • Наиболее эффективна ручная фильтрация списка событий, которые необходимо хранить • Также можно удалять события, которые старше X дней

6. Установка (4/6) • Размер системного события windows ~300 байт • Рекомендованный максимальный размер пакета Syslog 1024 байт • Размеры событий W3C зависят от количества включенной дополнительной информации • Сообщения SNMP как минимум 484 байта и никак не лимитированы • Использование юникода может увеличить объемы БД почти на 70%

7. Установка (5/6) • ESM использует следующие порты • 514 TCP / UDP – Syslog • 162 TCP / UDP – SNMP • 7787 TCP – windows event logs • 7788 UDP – windows event logs • 135 TCP – передача сообщений по сети. • 1433 TCP – общение с SQL сервером • Порты для сбора логов могут быть изменены

8. Установка (6/6) • Для отладки проблем установки необходимо просмотреть: • Файлы журналов в папке %temp% • ESM8*.log • esm*.csv • Системные события

9. Сбор информации • ESM Service загружает коннекторы для каждого типа собираемых событий • Для Windows Vista/2008 запускается отдельный модуль • Каждый из подгруженных модулей будет собирать события и сохранять в БД • Для обработки Windows events используется EvtLogic • Все остальные типы событий обрабатываются с помощью LogicProcessor • Оба модуля ответственны за сохранение результатов в БД, используя ODBCModule

10. Создание правил (1/2) • Как только получено событие, GFI ESM запускает проверку по правилам и триггерам, установленным администратором в настройках продукта • Правила обработки событий собраны в 'Rule Sets’, представляющие собой категоризированные готовые варианты правил с описанием • Компьютеры могут генерировать миллионы событий, большинство из которых может не нести важной информации или быть повторяющимися • GFI ESM имеет возможность обнаружения и настраиваемой фильтрации подобного «шума»

11. Создание правил (2/2) • Если Вы заметили, что какие-то правила не выполняются, вероятно, событие было воспринято как «шум» • Для проверки необходимо увеличить приоритетность правила выше уровня определения шума

12. Настройка аудита (1/2) • На локальной машине • Откройте настройки Local Security Policy • Start > Settings > Control Panel > Administrative Tools > Local Security Policy • Перейдите в Local Policies > Audit Policy и откройте нужный раздел • Отметьте типы событий, которые Вы хотите включить в аудит • Эти настройки ограничиваются одной машиной

13. Настройка аудита (2/2) • Настройка аудита в Group Policy • Выполните ‘Start’ -> ‘Run’ -> ‘mmc’ • Перейдите в ‘File’ -> ‘Add/Remove Snap-in…’ • Нажмите кнопку ‘Add’, выберите ‘Group Policy Object Editor’ и подтвердите, нажатием ‘Add’. • Выберите политику для аудита и нажмите ‘Finish’ and then ‘Close’ • В разделе Group Policy Object Editor раскройте ‘Computer Configuration’. • Перейдите в ‘Windows Settings’ > ‘Security Settings’ > ‘Local Policies’ > ‘Audit Policy’ • Использование Group Policies является идеальным в условиях настройки в рамках домена

14. EventsManagerВопросы?