EventsManager План Установка Сбор информации Создание правил Настройка аудита Установка (1/6) GFI EventsManager (ESM) может быть установлен на Windows 2000/2003/2008, Windows XP Pro или Vista Поддерживаются системы 32-bit и 64-bit Для обработки событий с Windows Vista и 2008, GFI ESM должен быть установлен на машину с Windows Vista или 2008 Установка (2/6) ESM не следует устанавливать на загруженные или ключевые машины Необходимо учесть количество событий, генерируемое в сети, и рассчитать примерный трафик при условии передачи событий с удаленной машины на сервер ESM При использовании внешнего SQL сервера для хранения событий, необходимо также учесть трафик от ESM до SQL Установка (3/6) Чем больше размеры организации, тем больше событий генерируется в сети В случае большого количества источников событий, рекомендуется устанавливать несколько копий ESM Не забудьте настроить ESM для уменьшения объема хранимой в SQL информации Наиболее эффективна ручная фильтрация списка событий, которые необходимо хранить Также можно удалять события, которые старше X дней Установка (4/6) Размер системного события windows ~300 байт Рекомендованный максимальный размер пакета Syslog 1024 байт Размеры событий W3C зависят от количества включенной дополнительной информации Сообщения SNMP как минимум 484 байта и никак не лимитированы Использование юникода может увеличить объемы БД почти на 70% Установка (5/6) ESM использует следующие порты > 514 TCP / UDP – Syslog > 162 TCP / UDP – SNMP > 7787 TCP – windows event logs > 7788 UDP – windows event logs > 135 TCP – передача сообщений по сети. > 1433 TCP – общение с SQL сервером Порты для сбора логов могут быть изменены Установка (6/6) Для отладки проблем установки необходимо просмотреть: > Файлы журналов в папке %temp% • • ESM8*.log esm*.csv > Системные события Сбор информации ESM Service загружает коннекторы для каждого типа собираемых событий Для Windows Vista/2008 запускается отдельный модуль Каждый из подгруженных модулей будет собирать события и сохранять в БД Для обработки Windows events используется EvtLogic Все остальные типы событий обрабатываются с помощью LogicProcessor Оба модуля ответственны за сохранение результатов в БД, используя ODBCModule Создание правил (1/2) Как только получено событие, GFI ESM запускает проверку по правилам и триггерам, установленным администратором в настройках продукта Правила обработки событий собраны в 'Rule Sets’, представляющие собой категоризированные готовые варианты правил с описанием Компьютеры могут генерировать миллионы событий, большинство из которых может не нести важной информации или быть повторяющимися GFI ESM имеет возможность обнаружения и настраиваемой фильтрации подобного «шума» Создание правил (2/2) Если Вы заметили, что какие-то правила не выполняются, вероятно, событие было воспринято как «шум» Для проверки необходимо увеличить приоритетность правила выше уровня определения шума Настройка аудита (1/2) На локальной машине > Откройте настройки Local Security Policy • Start > Settings > Control Panel > Administrative Tools > Local Security Policy > Перейдите в Local Policies > Audit Policy и откройте нужный раздел > Отметьте типы событий, которые Вы хотите включить в аудит Эти настройки ограничиваются одной машиной Настройка аудита (2/2) Настройка аудита в Group Policy > Выполните ‘Start’ -> ‘Run’ -> ‘mmc’ > Перейдите в ‘File’ -> ‘Add/Remove Snap-in…’ > Нажмите кнопку ‘Add’, выберите ‘Group Policy Object Editor’ и подтвердите, нажатием ‘Add’. > Выберите политику для аудита и нажмите ‘Finish’ and then ‘Close’ > В разделе Group Policy Object Editor раскройте ‘Computer Configuration’. > Перейдите в ‘Windows Settings’ > ‘Security Settings’ > ‘Local Policies’ > ‘Audit Policy’ Использование Group Policies является идеальным в условиях настройки в рамках домена EventsManager Вопросы?