У цій статті ви навчитеся:

• Налаштовувати Splunk на сервері Ubuntu
• Налаштовувати Sysmon на Windows Server та Windows 10 на клієнтському комп'ютері
• Налаштовувати Splunk Universal Forwarder на Windows для пересилання логів Sysmon на сервер Splunk
• Запитувати/переглядати логи/телеметрію, що надсилається на сервер Splunk
• Налаштовувати Active Directory (AD) на Windows Server 2022 та підвищувати його до контролера домену (DC)
• Створювати доменних користувачів і входити в систему Windows 10 як доменний користувач

Вимоги

• Virtual Box
• Встановлені Windows Server 2022, Ubuntu Server та Windows 10
• Бажання почати та завершити, а також цікавість 😉

Розуміння концепцій

Active Directory (AD) — це база даних і набір служб, які з’єднують користувачів з мережевими ресурсами, які їм потрібні для виконання роботи.

База даних (або каталог) містить критично важливу інформацію про ваше середовище, зокрема, хто є користувачами та комп'ютерами і хто має доступ до чого. Наприклад, база даних може містити 100 облікових записів користувачів із такими даними, як посада, номер телефону та пароль кожної особи. Вона також записує їхні дозволи.

Служби контролюють більшість діяльності в вашому ІТ-середовищі. Зокрема, вони забезпечують, щоб кожна особа була тим, за кого себе видає (аутентифікація), зазвичай перевіряючи введений ID користувача та пароль, і дозволяють їй отримати доступ лише до даних, до яких вона має право доступу (авторизація).

Читати далі, щоб дізнатися більше про переваги Active Directory, як воно працює та що міститься в базі даних Active Directory

Управління інформацією та подіями безпеки (SIEM) — це рішення, яке збирає, агрегує та аналізує великі обсяги даних з організаційних додатків, пристроїв, серверів та користувачів в режимі реального часу. Об'єднуючи ці величезні обсяги даних в єдину, інтегровану платформу, рішення SIEM забезпечують всебічний огляд стану безпеки організації, що дозволяє центрам операцій безпеки (SOC) швидко і ефективно виявляти, розслідувати та реагувати на інциденти безпеки. Рішення SIEM можуть допомогти організаціям будь-якого розміру:

• Отримувати огляд свого стану безпеки через централізацію та аналіз даних з різних джерел.
• Виявляти та ідентифікувати потенційні порушення безпеки та загрози в реальному часі, мінімізуючи ризик компрометації.
• Розслідувати та тріажувати інциденти безпеки ефективно, скорочуючи час і ресурси, необхідні для вирішення.
• Виконувати вимоги регуляторних та галузевих стандартів і рамок безпеки

Читати далі, щоб дізнатися більше про SIEM

Splunk — це платформа для роботи з даними, яка допомагає організаціям керувати та аналізувати великі обсяги машинних даних. Читати далі тут, щоб дізнатися більше про Splunk

Схема мережевої архітектури

Схема мережевої архітектури

Встановлення та налаштування

Якщо ви ще не встановили віртуальні машини (Windows 2022, Windows 10, Ubuntu Server та Kali/parrotOS), будь ласка, зробіть це, оскільки в цій статті я не буду розглядати цей процес. Однак моя стаття Побудова віртуальної лабораторії безпеки: початкові установки показує, як встановити ці машини.

Ми почнемо з встановлення Splunk Server на віртуальній машині Ubuntu.

Завантаження Splunk

Перейдіть за URL: Завантажити ISO-образ Splunk

Натисніть на кнопку Get my Free Trial під Splunk Enterprise, щоб перейти на наступну сторінку.

Якщо у вас ще немає облікового запису, вам потрібно буде створити його, перш ніж ви зможете завантажити ISO-образ.
Так що перейдіть і створіть обліковий запис або увійдіть, якщо у вас вже є один

Натисніть на вкладку Linux, оскільки ми будемо встановлювати Splunk на сервері Ubuntu. Потім натисніть кнопку Download Now поруч з розширенням файлу .deb. І ваш файл повинен автоматично почати завантажуватися. Розмір файлу ~700MB

Збережіть файл на вашій хост-машині.

Встановлення Splunk Server

Тепер запустіть вашу машину з Ubuntu Server і дотримуйтесь наведених нижче кроків.

Перевірте IP-адресу. Як видно з діаграми вище, ми призначили адресу 192.168.56.35 для сервера Splunk. Отже, ми призначимо цю адресу серверу, налаштувавши статичний IP.

Використайте команду

sudo nano /etc/netplan/00-installer-config.yaml

#Це конфігурація мережі, написана 'subiquity'  
network:  
 ethernets:  
 enp0s3:  
 dhcp: true  
 version: 2

Відредагуйте файл, щоб він відповідав вашій мережевій конфігурації.

network:  
 ethernets:  
 enp0s3:  
 dhcp: no  
 addresses: [ip-address/netmask]  
 nameservers:  
 addresses: [preferred-DNS-Address]  
 routes:  
 - to: default  
 via: gateway-address  
 version: 2

Збережіть і вийдіть (‘ctrl + o’ потім ‘enter’ для збереження і ‘ctrl + x’ для виходу)

sudo netplan apply

Перевірте ваш IP, щоб побачити, чи відображаються зміни. Також спробуйте отримати доступ до Інтернету, надіславши ping.

Тепер ми встановимо образ VirtualBox Guest additions, щоб мати змогу монтувати папку з хост-машини на гостьову машину (Ubuntu Server) і отримати доступ до файлу сервера Splunk, який ми завантажили раніше на хост-машині.

sudo apt install virtualbox-guest-additions-iso

Введіть y, щоб прийняти…

Поки завантаження та встановлення триває, налаштуємо спільну папку.

Натисніть на Devices у меню VirtualBox і виберіть shared folder, Share Folder Settings…

Натисніть на кнопку плюс справа від спливаючого вікна, виберіть шлях до папки, де зберігається завантажений файл Splunk на вашій хост-машині.

Ви можете залишити ім'я папки за замовчуванням, вибрати опції Read-only, Auto-mount і Make Permanent. І натисніть Ok, щоб зберегти.

Встановлення образу VirtualBox Guest additions завершено.

Тепер встановіть утиліти гостя VirtualBox

sudo apt install virtualbox-guest-utils

Перезавантажте машину

Тепер додайте користувача ubuntu до групи vboxsf.
Створіть папку і змонтуйте її до спільної папки, створеної раніше.

sudo adduser username vboxsf  

mkdir folder-name

sudo mount -t vboxsf -o uid=1000,gid=1000 Host-folder-shared-name folder-name

cd folder-name  

ls -al

Запустіть інсталятор

sudo dpkg -i splunk-installer-file.deb

Ви повинні побачити повідомлення complete, коли інсталяція завершиться успішно.

Тепер ми запустимо сервер Splunk. Спочатку перейдімо до директорії opt, в директорію splunk, перелікуємо файли в цій директорії, і ви помітите, що файли належать користувачу та групі splunk, це означає, що вам потрібно буде запускати сервер від користувача splunk.

cd /opt/splunk

sudo -u splunk bash  

ls -la

sudo -u splunk bash  

cd bin  

./splunk start

Прийміть умови, щоб продовжити...

Введіть ваше ім'я користувача та пароль

Тепер він працює.

Вийдіть з користувача splunk. Тепер налаштуємо сервер splunk на автоматичний запуск навіть після перезавантаження сервера. Перейдіть до директорії /opt/splunk/bin, перед тим як виконати наступну команду.

sudo ./splunk enable boot-start -user splunk

Встановлення Splunk Universal Forwarder та Sysmon

Windows 10 (Клієнтська машина)

Рекомендую змінити ім’я ПК, щоб легко ідентифікувати телеметрію кінцевої точки в Splunk пізніше.

Тепер налаштуємо IP-адресу, як показано в діаграмі архітектури вище. Рекомендується використовувати статичний IP.

Натисніть на іконку network на панелі завдань, оберіть Network & Internet Settings, change adapter settings

Правою кнопкою миші натисніть на мережевий пристрій і виберіть Properties

Оберіть Internet Protocol Version 4 (TCP/IPv4) і натисніть Properties

Введіть бажані мережеві параметри…

Перевірте мережеві параметри за допомогою ipconfig, щоб підтвердити зміни. Також спробуйте підключитися до Інтернету.

Тепер завантажте Sysmon. Виберіть результат з офіційного сайту Microsoft.

Завантажте sysmon…

Тепер завантажте файл конфігурації Sysmon з репозиторію Olaf на GitHub.

Прокрутіть вниз і виберіть sysmonconfig.xml, потім натисніть Raw

Коли він завантажиться, натисніть на екран і збережіть як.

Тепер завантажте Splunk Universal Forwarder.
Він доступний на тому ж сайті, де був завантажений файл інсталятора для Splunk Server.

Оберіть архітектуру x64

Підтвердження встановлення Splunk server

Не забувайте, що потрібно постійно підтримувати Ubuntu машину, на якій працює Splunk Server, під час наступних налаштувань.

Використовуйте IP-адресу Ubuntu, щоб отримати доступ до Splunk Web GUI. Він доступний на порту 8000

Встановлення Splunk Universal Forwarder на Windows 10

Запустіть інсталятор, з’явиться вікно

Додайте ім’я користувача та пароль або дайте системі автоматично згенерувати пароль.

У нас немає розгортання, тому пропускаємо цей крок і залишаємо його порожнім.

У нас є сервер отримання даних — це встановлений сервер Splunk на Ubuntu. Введіть IP-адресу сервера і порт (за замовчуванням 9997).

Натисніть кнопку install, щоб встановити

Встановлення Sysmon

Перейдіть до директорії, де раніше були завантажені файли Sysmon і конфігураційний файл Sysmon. Розпакуйте файли sysmon і скопіюйте конфігураційний файл sysmonconfig від olaf в папку з розпакованими файлами.

Відкрийте Windows PowerShell як адміністратор

Перейдіть до директорії, в якій знаходяться файли sysmon.
(Підказка: ви можете скопіювати шлях до директорії з файлового менеджера для зручності навігації)

Використовуйте наступну команду для запуску інсталятора

.\Sysmon.exe -i .\sysmonconfig.xml

Пояснення цієї команди.
Sysmon.exe — це файл для установки Sysmon на Windows. Параметр -i вказує на конфігураційний файл, який буде використано для установки Sysmon, а саме файл конфігурації sysmon від olaf.
Потім вказується шлях до конфігураційного файлу sysmon, або якщо він знаходиться в тій самій папці, що й виконуваний файл sysmon, вказуємо директорію.

.\sysmon-executable-file.exe -i path-to-sysmon-config-file

Прийміть умови і продовжуйте.

Якщо все правильно встановлено, ви повинні побачити повідомлення про успіх.

На цьому етапі Splunk Universal Forwarder також повинен бути успішно встановлений.

Тепер, коли Sysmon і Forwarder встановлено, однак, якщо ми перевіримо сервер Splunk, ми не побачимо нічого (немає логів), поки не вкажемо, що саме повинен відправляти Universal Forwarder на сервер Splunk.

Перейдіть в C:\Program Files\SplunkUniversalForwarder\etc\system\default. Тут є файл inputs.conf за замовчуванням, але це не той файл, який потрібно редагувати, оскільки він використовується для випадків, коли виникають проблеми з файлом inputs.conf, який ми створимо.

Перейдіть в C:\Program Files\SplunkUniversalForwarder\etc\system\local

Саме тут ми будемо створювати файл inputs.conf.

Якщо ви помітили, ми не можемо безпосередньо створити файл тут, тому нам потрібно вирішити це питання.

Для цього відкрийте Notepad як адміністратор.

Додайте наступні налаштування до Notepad.

[WinEventLog://Application]  
index = endpoint  
disabled = false  

[WinEventLog://Security]  
index = endpoint  
disabled = false  

[WinEventLog://System]  
index = endpoint  
disabled = false  

[WinEventLog://Microsoft-Windows-Sysmon/Operational]  
index = endpoint  
disabled = false  
renderXml = true  
source = XmlWinEventLog:Microsft-Windows-Sysmon/Operational

Цей файл вказує, що Forwarder пересилає журнали подій Windows (WinEventLog), зокрема, журнали Application, Security, System та Sysmon, які генеруються на кінцевому пристрої. Індекс вказує, в яку папку або індекс на сервері Splunk ці логи будуть збережені. Disabled вказує, що відправка цього логу дозволена.

Збережіть файл у директорії C:\Program Files\SplunkUniversalForwarder\etc\system\local під іменем inputs.conf

Щоразу, коли редагуються файли Splunk, потрібно перезапустити службу Splunk, щоб нові зміни набрали чинності.

Відкрийте Services як адміністратор

Прокрутіть вниз до місця, де знаходиться SplunkForwarder. Зараз SplunkForwarder працює з NT Service, нам потрібно змінити це на Local System. Клацніть правою кнопкою і виберіть властивості.

Натисніть на вкладку Log On і змініть на Local System account. Натисніть Ok і перезапустіть службу SplunkForwarder.
Примітка: завжди перезапускайте службу, коли є зміни в конфігурації.

Коли вищезазначене буде виконано коректно.
Тепер ви можете бути впевнені, що успішно налаштували Splunk Forwarder на кінцевому пристрої.

Тепер все, що вам потрібно зробити, це повторити цей процес на будь-якому іншому Windows кінцевому пристрої, на який ви хочете встановити Splunk Universal.

Зробіть це для Windows Server….

Установлено Sysmon та Splunk Forwarder на Windows Server

Коли Sysmon і Splunk Forwarder будуть успішно встановлені, ми завершуємо конфігурацію на веб-інтерфейсі сервера Splunk.

Перейдіть до IP-адреси сервера Splunk на порту 8000, використовуючи облікові дані, створені раніше під час встановлення сервера Splunk для входу.

Головна сторінка

Натисніть на Settings, потім Indexes

Пам'ятайте, в файлі inputs.conf, створеному на кінцевих пристроях, індекс, куди повинні надсилатися логи, був названий endpoint. Однак на цій сторінці немає індексу з таким ім'ям. Тому потрібно його створити.

Натисніть на New Index

Створіть індекс endpoint, залишивши інші поля за замовчуванням, і натисніть Save

Тепер, коли індекс endpoint створено, потрібно налаштувати сервер для отримання даних.

Знову натискайте на Settings, потім Forwarding and receiving

Натисніть на Configure receiving

New Receiving Port

Пам'ятайте порт, який був налаштований під час установки Splunk Forwarder. Це той самий порт, який потрібно використовувати тут. За замовчуванням це 9997, якщо ви використовували інший, то вкажіть його тут.

Перейдіть на головну сторінку, Search & Reporting

Використовуйте пошуковий запит “ index=’endpoint’ ” і виберіть потрібний часовий інтервал.
Натисніть на кнопку пошуку.

Як вже згадувалося раніше, якщо Splunk Forwarder налаштовано правильно, ви вже повинні бачити тисячі логів.

Встановлення AD і підвищення до DC

Встановлення AD

Запустіть ваш Windows Server, відкрийте Server Manager, натисніть на Manage, потім Add Roles and Features.

Виберіть установку на основі ролей або функцій

Залиште за замовчуванням, оскільки це єдиний сервер домену.

Натисніть на Active Directory Certificate Services.

Потім натисніть Add Features

Натисніть Next

Натисніть Next

Натисніть Next

Потім натискайте Install

Процес встановлення починається

Закрийте вікна після успішної установки

Підвищення AD до DC

Тепер ми підвищуємо нещодавно встановлений AD до DC. Натискайте на іконку Flag на панелі меню Server Manager. Натискайте Promote this server to a domain controller

Додайте бажану назву кореневого домену.

Залиште все за замовчуванням, встановіть надійний пароль і підтвердьте

Натисніть Next

Натисніть Next

Натисніть Next

Натисніть Next

Натисніть Next

Потім натискайте Install

Встановлення починається

Після успішного встановлення система автоматично перезавантажиться, щоб впровадити зміни.

Додавання користувачів до домену

Щоб додати користувачів, натисніть на tools, Active Directory Users and Computers

Клацніть правою кнопкою миші на домені для створення груп, користувачів, організаційних одиниць тощо.

Для мене, я почну зі створення організаційної одиниці, а потім додам користувачів до цієї одиниці.
Організаційні одиниці схожі на різні відділи, які зазвичай є в компанії, це спосіб легко згрупувати учасників домену за відділом, в якому вони перебувають.

Тоді я створюю користувачів в організаційних одиницях

Створюйте стільки користувачів, скільки ви хочете, і наступним кроком буде вхід на клієнтську машину Windows як користувач домену.

Увійти в Windows клієнтську машину як користувач домену

Запустіть вашу клієнтську машину Windows, перейдіть до розділу "Про вашу ПК".

Натисніть на "Додаткові параметри системи"

Перейдіть на вкладку Computer Name, потім натисніть на кнопку Change

Додайте дані домену та натисніть OK. Якщо ви отримаєте таку помилку, це означає, що клієнтська машина не може знайти домен "yourdomain.extension", у цьому випадку "cse.local". Вам потрібно налаштувати IPv4 адресацію.

Перейдіть до Network and Internet, Status, натисніть Change adapter options.

Правою кнопкою миші на мережевий адаптер і виберіть Propertise.

Подвійне клацання на Internet Protocol Version 4 (TCP/IPv4) і відредагуйте налаштування DNS серверу, вкажіть IP-адресу серверу Windows як переважний DNS сервер. Натискайте OK і виходьте.

Тепер спробуйте знову підключитися до домену, і ви успішно підключитеся після введення адміністративних даних, якщо це буде потрібно.

Підтвердження приєднання до домену

Вам потрібно перезавантажити ПК, щоб застосувати зміни.

Після перезавантаження ви побачите нову сторінку, натисніть на "Other user", додайте необхідні дані користувача, і ви увійдете як користувач домену.

Ви можете спробувати створити більше користувачів і увійти в ці акаунти, вибираючи інші акаунти та вводячи необхідні дані.

Висновок

Ось і все, друзі! Ми успішно встановили та налаштували Splunk Server, Splunk Universal Forwarder на пристроях Windows, встановили Sysmon. Ми також встановили AD, підвищили його до DC, додали кілька користувачів і увійшли в клієнтські машини Windows як користувачі домену.

Попередня частина

[

ВІРТУАЛЬНА ЛАБОРАТОРІЯ: БРАМПАННЯ PFSENSE

Налаштування Pfsense, призначення інтерфейсів та конфігурації

csesuleiman.medium.com

](/virtual-lab-pfsense-firewall-2ef3b9f9ddce?source=post_page-----eeb09824c305--------------------------------)

Якщо вам сподобалося прочитане, будь ласка:

• Натисніть "clap" для статті (ви можете натискати до 20 разів 😉)
• Залиште коментар, щоб підтримати
• Поділіться статтею з іншими, кому це може бути корисно
• Слідкуйте за мною на Medium, X та LinkedIn

Перекладено з: BUILDING A VIRTUAL SECURITY LAB: SPLUNK