正文

利用Logging Made Easy纯免费打造日志审计系统,满足合规需求。

admin
admin V管理员 /0 评论 /347 阅读
1010
此篇文章发布距今已超过386天,您需要注意文章的内容或图片是否可用!
Logging Made Easy 为组织提供了一个自安装教程,以便他们获得 Windows 客户端的基本集中安全日志记录,并提供检测攻击的功能。LME 是多个开放软件平台的集成,对用户免费。LME 帮助用户将软件平台集成在一起,以提供端到端日志记录功能。LME 还提供了一些预制的配置文件和脚本,尽管您也可以自行完成这些操作。
Logging Made Easy 可以:
  • 显示在已注册设备上运行管理命令的位置
  • 查看谁在使用哪台机器
    结合威胁报告,可以以战术、技术和程序 (TTP) 的形式查询攻击者的存在

    LME 架构由 3 组计算机组成,如下图所示:

    话不多说上干货,三沐手把手教你们部署。

  • 项目地址:https://github.com/cisagov/lme

安装 LME 需要什么样的 IT 技能?

具有系统管理员或爱好者技能水平的用户可以安装 LME 项目。如果您曾经……
  • 安装 Windows 服务器并将其连接到 Active Directory 域
  • 最好部署组策略对象 (GPO)
  • 更改了防火墙规则
  • 安装Linux操作系统,并通过SSH登录。
…那么您很可能具备安装 LME 的技能。
整个安装过程需要几天时间。您可以根据自己的时间安排拆分安装过程。虽然我们已经实现了步骤自动化,并尽可能详细地说明了安装说明,但安装所需的步骤比使用安装向导要多。
当然如果您不具备安装技能,可以后台联系三沐,三沐可以提供一站式服务,但是需要你囊中羞涩,哈哈哈。

所需的基础设施

要开始安装 Logging Made Easy,您需要访问(或创建)以下服务器:
  • 用于管理 Windows Active Directory 的域控制器。这用于部署组策略对象 (GPO)
  • 具有 2 个处理器核心和至少 8GB RAM 的服务器。我们将在此计算机上安装 Windows 事件收集器服务,将其设置为 Windows 事件收集器 (WEC),并将其加入域。
    • 如果预算允许,我们建议使用专用服务器来收集 Windows 事件。如果无法做到这一点,可以在现有服务器上设置 WEC,但要考虑性能影响。
    • WEC 服务器可以是 Windows Server 2016(或更高版本)或 Windows 8.1 客户端(或更高版本)
  • 基于 Debian 的 Linux 服务器。我们将在此机器上安装数据库 (Elasticsearch) 和仪表板软件。这一切都通过 Docker 容器完成。

    最低硬件要求:

  • CPU:2 个处理器核心,

  • 内存:16GB RAM,( Elastic建议 32GB+ ),

  • 存储:ELK 专用 128GB 存储空间(不包括操作系统和其他文件的存储空间)

    • 注:18.04部署脚本仅在 Ubuntu:长期支持(LTS)和LTS上测试过 22.04

在哪里安装服务器

服务器可以位于本地、公共云或私有云中。您可以自行选择,但需要考虑如何在客户端和服务器之间建立网络。

需要什么防火墙规则?

工欲善其事必先利其器,准备工作已经讲完,下面我们开始部署。

设置 Windows 事件转发

防火墙规则和托管位置

您需要在客户端和 Windows 事件收集器之间打开 TCP 端口 5985。您还需要在 Windows 事件收集器和 Linux 服务器之间打开端口 5044。
我们建议此流量不要直接通过互联网,因此您应该在本地网络上将 Windows 事件收集器托管在与 Active Directory 服务器类似的位置。

下载 LME

LME 存储库中有几个文件需要在域控制器上可用。虽然有多种方法可以实现这一点,但一种简单的方法是下载最新的发布包。
在域控制器上,下载所需的版本
打开文件资源管理器,找到并解压步骤1中下载的发布文件,例如LME-1.0.zip。
将 LME 文件夹移至安全的地方。此文件夹没有固定位置要求,但您应将其保存在安装过程中不会被无意修改或删除的地方。安装完成后,您可以安全地删除该文件夹。

导入组策略对象

组策略对象 (GPO) 是管理 Active Directory 域中技术策略的便捷方式。LME 附带两个 GPO,它们协同工作,将客户端计算机中的事件转发到事件收集器。

  1. 在组策略管理控制台中,导航到“组策略对象”文件夹。具体路径会有所不同,具体取决于您的域名。在图 3 中使用的示例中,路径为Forest: testme.local / Domains / testme.local / Group Policy Objects)。

  2. 右键单击“组策略对象”并选择“新建”。

  3. 创建两个新的 GPO,“LME-WEC-Client”和“LME-WEC-Server”。将“源启动器 GPO:”保留为“(无)”。

  4. 右键单击新创建的“LME-WEC-Client”对象。选择“导入设置...”

  5. 点击“下一步”,直到到达向导的“备份位置”页面。注意:向导的“备份位置”页面用于从备份导入设置,不要将其与“备份 GPO”页面混淆,后者用于使用当前设置创建新备份。

  6. 当提示指定“备份位置”时,请指定LME-1.0/Chapter 1 Files/Group Policy Objects,其中LME-1.0指的是步骤 1.3 中下载的文件夹。

  7. 在“源 GPO”页面上,选择“LME-WEC-Client”。

  8. 单击“下一步”,然后单击“完成”。

  9. 对“LME-WEC-Server”对象重复上述步骤,在步骤 4 中选择“LME-WEC-Server”。

  10. 右键单击“LME-WEC-Client”对象,然后选择“编辑”。

  11. 导航至Computer Configuration/Policies/Administrative Templates/Windows Components/Event Forwarding/

  12. 单击“配置目标订阅管理器”。通过“订阅管理器”,单击“显示”。

  13. 更改 FQDN(完全限定域名)以匹配您的 Windows 事件收集器框名称 - 此选项可在下图 5 中看到。此域名需要可从每个客户端解析。

  14. 更改 FQDN 后,单击“应用”,然后单击“确定”。

    安全考虑:

    通过 IP 限制 Windows 远程管理

LME-WEC-Server 和 LME-WEC-Client GPO 均包含通配符过滤器,允许主机和客户端上的所有 IP 地址运行 Windows 远程管理 (WinRM) 侦听器并使用此协议接收入站连接。我们强烈建议将其限制为特定于您的网络环境的 IP 地址或范围。
例如,如果您托管一个子网为 192.168.2.0/24 的 LAN,那么您只能允许位于 192.168.2.1-192.168.2.254 范围内的 NIC 通过 GPO 策略运行 WinRM 侦听器。

Windows 事件收集器步骤

  1. 在 Windows 事件收集器上,通过在开始->运行->eventvwr.exe 下搜索,或在开始菜单中的“Windows 管理工具”下运行事件查看器。

  2. 点击“订阅”。

  3. 如果出现提示,请选择“是”以启动 Windows 事件收集器服务(见图 6)。如果没有出现此类提示,请继续执行步骤 4。

安装 Sysmon

操作请见:

https://github.com/cisagov/LME/blob/main/docs/markdown/chapter2.md

安装 ELK Stack 和检索日志

操作请见:

https://github.com/cisagov/LME/blob/main/docs/markdown/chapter3/chapter3.md

快速安装方式:

git clone https://github.com/ukncsc/lme.gitcd lme根据您的需求,编辑 docker-compose.yml 文件,配置相关参数。使用 Docker Compose 启动服务:docker-compose up -d访问 http://localhost:5601,确保 Kibana 界面正常显示。

安装后操作

  • 登录Kibana查看日志

  • 检查是否正在接收日志

  • 启用默认检测规则

  • Kibana 基础知识



应用案例

  • 企业日志管理:LME 可以帮助企业集中管理来自不同系统的日志数据,确保数据的完整性和安全性。

  • 合规性要求:对于需要满足 GDPR 或其他合规性要求的企业,LME 提供了一套易于部署的解决方案。

  • 最佳实践

  • 定期备份:定期备份日志数据,确保在发生故障时可以快速恢复。

  • 安全配置:确保 Docker 和相关服务的配置符合安全最佳实践,防止未授权访问。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网