AlienVault USM OSSIM

Coleta de logs Windows via WMI

(Validado com as plataformas Windows Server 2008, Windows 7, Windows 8)

 

1. Introdução

A coleta de logs para o SIEM via WMI é uma forma que não necessita da utilização de agente, porem para que o funcionamento seja possível, são necessárias algumas configurações tanto do lado do ativo Windows que será monitorado, como do lado o servidor do OSSIM/USM AlienVault.

As configurações basicamente são referentes a criação e liberação de credenciais de acesso remoto e ativação do serviço de coleta.

2. Configurando Windows

O primeiro passo é a criação de um usuário que será utilizado para a coleta via WMI. No exemplo utilizado o usuário se chama wmiuser com a senha wmi (evite usar senha com os caracteres $ e @). Devido as melhores práticas de segurança, é recomendável que se utilize um usuário com privilégios limitados.

Para possibilitar que esse novo usuário realize login remoto e permita a captura de logs, é necessário a realização de algumas configurações através do DCOM.

Configurando o DCOM:

• Vá em Iniciar -> Executar -> Digite DCOMCNFG e click em OK.
• Vá em Serviços de Componente -> Computadores -> click com o botão direito em Meu Computador -> Propriedades
• Clique na opção Segurança COM -> Editar Limites em Permissões de Inicialização e Ativação

• Selecione o usuário que será utilizado e edite as permissões dele, selecionando a opção Permitir para Início Local, Início Remoto, Ativação Local, Ativação Remota e click em ok.

• Voltando para o Segurança COM, click em Editar Limites referente ao Permissões de Acesso.

• Selecione a opção LOGON ANONIMO e edite as configurações selecionando a opção Permitir para Acesso Remoto.

 

Após isso, é necessário configurar o wmiuser para ele ler logs.

• Vá em executar e digite compmgmt.msc e click em OK.
• Vá em Ferramentas do sistema -> Usuários e Grupos Locais -> Grupos -> click 2 vezes em Leitores de Logs de Eventos.
• Click em adicionar e selecione o usuário wmiuser.
• Click em aplicar e depois Ok.

 

Ative permissões para a coleta de logs do tipo Security, System e Application:

• Vá em executar e digite “compmgmt.msc”.
• Vá em “Serviços e Aplicativos”, Click com o Botão Direito em “Controle WMI” e selecione “Propriedades”, vá na aba “Segurança”, abra a árvore de diretórios clicando em Root, selecione a opção CIMV2 (ou CLIMV2) e clique no botão “Segurança” do canto inferior direito.

 

• Adicione o wmiuser a lista de usuários e ative a permissão para as opções “Ativação Remoto” e “Ler Segurança”.

 

Para permitir o Acesso Remoto através do Firewall do Windows

• Execute o prompt de comando como administrador e execute o seguinte comando: C:\> netsh firewall set service RemoteAdmin enable

 

 

3. Configurando o OSSIM/USM AlienVault

 

Para configurar o wmi por parte do OSSIM/USM, siga os seguintes passos:

 

• Verifique se o wmic package está instalado (apt-get install wmi-client). Atenção para o uso em Windows Server 2008 é necessário usar a versão mais recente do wmi-client (“wmi-client_1%3a0.1.13-1_amd64.deb.deb”).

 

• Crie um arquivo contendo as informações e credenciais para acesso a estação/servidor Windows que será monitorado. Importante: crie o arquivo com o nome wmi_credentials.csv e na pasta /etc/ossim/agent/.

 

Comandos importantes no vi:

:w! salva o arquivo

:q! sai do arquivo

 

Dentro do arquivo adicione apenas as informações de endereço IP, domínio/usuário ou só usuário e senha, de acordo com o formato abaixo:

 

Após isso, ative os wmi pluggins através da interface de Setup do OSSIM/USM.

• Para isso, execute o alienvault-setup, vá em 1-Configure Sensor e 4-Configure Data Source Plugins. Selecione (utilize a barra de espaço para selecionar) as opções snare-idm, snare-mssql, snare-msssis, snare, pam_unix, ossim-agent, wmi-application-logger, wmi-security-logger, wmi-security-logger-srv2008, wmi-system-logger e click em OK.

 

• Vá para o menu principal e click em Apply All Changes.

 

Os eventos irão aparecer como eventos Snare.

 

 

 

 

4. Troubleshooting

Para troubleshooting, você pode usar os seguintes comandos:

 

Comandos para testar a conexão:

wmic –d99 –U usuario%senha \\ “select from Win32_Process”

wmic –U usuario%senha \\ “select from Win32_Process”

wmic –U dominio\\usuario%senha \\ “select from Win32_Process”

 

Comandos para verificar se os eventos estão sendo recebidos pelo agente:

tail –f /var/log/ossim/agent.log

tail –f /var/log/ossim/agent.log |grep `plugin_id=”1518”’

 

Comandos para verificar se os eventos estão sendo recebidos no servidor:

tail –f /var/log/ossim/server.log