Windows Event Forwarding (WEF) Mimarisi & GPO Yapılandırması

0
475
views
Bilgi güvenliği unsurlarından Auditing ve Accountability gereği olay kayıtlarını almak oldukça önemlidir. Windows işletim sistemlerinde olay kayıtlarını almak için yöntemlerden birisi de Windows Event Forwarding (WEF) özelliğini kullanmaktır. Bu yazıda WEF mimarisi ve yapılandırma konuları incelenecektir.

 

 

A) WEF Mimarisi

Bu alt başlıkta WEF ile Windows işletim sistemlerine ait olan log kayıtlarını toplamanın önemi incelenecektir. Biz istemci loglarının toplanması üzerinden ilerliyor olacağız. Kurulacak 2 sistem bulunmaktadır.

  • WEF Client: Logların toplandığı WEF istemcisidir.
  • WEF Proxy Server: Logları topladığımız WEF vekil sunucusudur.

Topoloji aşağıdaki şemada gördüğünüz gibi değerlendirebiliriz. Şemada WEF Proxy Server olarak isimlendirilen sunucu üzerinden log kayıtlarını toplamayı hedefleyeceğiz.

 

B) WEF Vekil Sunucusunu Yapılandırma ve Konumlandırma

Yukarıda göstermiş olduğumuz topolojide sistemlerin bazıları (Servers, Desktop ve Laptop gibi) gösterilmiştir. Bunların yanında; Microsoft Exchange Server, File Server, SQL Server, Domain Controller ve uç noktalarda (EndPoint) oluşan bütün log kayıtlarını WEF sunucusuna iletmemiz mümkündür.

Öncelikle WEF sunucusunu log kayıtlarını dinlemeye hazır hale getirebilmemiz için aşağıdaki adımları takip edebilirsiniz;

  • Birinci adımda proje hazırlıkları ve proje başlangıcı olarak bir WEF sunucu hazırlanmanız gerekmektedir. Donanımsal gereksinimleri ise aşağıdaki gibidir;
    • 16CoreCPU
    • 32 GB Ram
    • WEF sunucusu üzerindeki forwarding event size default’ta 20MB değerindedir. Performans açısından bu değerin duruma göre 10GB’ta yükseltilebilir.
  • WEF sunucusunda Windows Powershell’i admin modda açarak WinRM’i aktif hale getirilmelidir.

winrm qc

 

  • WinRM servisini açtıktan sonra, log toplamak için gerekli “Event Log Collector” servisini ayağa kaldırmamız gerekiyor. Aynı şekilde Powershell‘den veya services.msc’den aktif edebilirsiniz.

wecutil qc
yes

 

  • Gerekli olan donanımsal isterler tamamlandıktan sonra sıra kalıcı firewall erişimlerini açmaya geliyor. Bu durumda bize gerekli olan servisler WinRM over HTTP (TCP\5985) ve WinRM over HTTPS (TCP\5986) şeklindedir. Bu portlar büyük kurumlarda genellikle kapalıdır. Bu portlara erişimler güvelik duvarından (firewall) ve diğer aktif cihazlardan (Router’lardaki ACL gibi) açtırılmalıdır.
  • Erişimsel problemler ve donanımsal isterler tamamlandıktan sonra WEF istemcilerimiz Kerberos kilkil doğrulama yöntemi ile log kayıtlarını tarafımıza gönderecektir. Yaygınlaştırmayı yapabilmek için GPO ayarları aşağıdaki gibi yapılandırılabilir:

Computer Configuration -> Administrative Templates -> Windows Components -> Windows Remote Management (WinRM) -> WinRM Service -> Turn On Compatibility HTTP Listener: Enable

 

  • WEF sunucumuzun yaptığımız ayarları ve politikayı alıp almadığını kontrol edebilmek için “gpupdate” aracı kullanılabilir.

gpupdate /force

  • Ağ erişimlerinin açılıp açılmadığını kontrol edebilmek için “netstat” aracı kullanılabilir.

netstat -ano | find “598”

 

C) Log Toplama Yöntemleri

Temel olarak 2 yolla log kayıtları toplanabilir.

  • Collector Iniated: Log toplama işlemini WEF sunucusunu başlatır. WEF sunucusu, istemcilere bağlanarak logları kendi üzerine çeker (pull). Bu yöntem kaynak kullanımı anlamında ekonomik olmadığı için önerilmemektedir.
  • Source Computer Initiated: İstemciler loglarını WinRM servisi aracılığıyla hedef WEF sunucusunun WinRM portlarına (WinRM over HTTPS (TCP\5985) veya WinRM over HTTP (TCP\5986) gibi) göndermektedir. Bu yöntem syslog ile log kayıtlarını iletmeye benzemektedir. Burada kaynağı harcanan logun kaynağı olan istemcilerdir ve bu sistemler Kerberos Authetincation ile WEF sunucusuna kayıt (register) olmaktadır.

 

D) WEF Grup İlke Nesnesi (Group Policy Object – GPO) Tanımlanması

Büyük kurumda Bilgi Güvenliği ekibinde bir çalışansanız bu konu hakkında Aktif Dizin (AD) ekibinden destek alabilirsiniz. Bu başlıkta Group Policy Management konsolunu (gpmc.msc) açarak yeni bir grup ilke nesnesi oluşturacağız ve bu GPO’yı ilgili sistemlerimize atayarak 120 dakika (90 +- 30) sonunda log kayıtlarını otomatik olarak hedef WEF sistemlerine göndermesini sağlayacağız.

 

GPO için adımları aşağıdaki gibi tanımlanacaktır.

  • WinRM servisini otomatik olarak çalıştırılacak şekilde ayarlanmalıdır.

Computer Configuration -> Windows Settings -> Security Settings -> System Services -> Windows Remote Management (WS-Management): Automatic

 

  • Logların yönlendirmek için hedef Subscription Manager olarak WEF sunucusunu tanımlanır.

Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Event Forwarding -> Configure Target Subscription Manager: Enabled -> Açılan pencere: “Server=http://wefserver1.weflab.local:5985/wsman/SubscriptionManager/WEC”

 

  • Windows Server 2019 veya Windows Server 2016 gibi bazı Windows sunucu sürümlerinde, Security Event loglarını anlamlı bir şekilde alabilmek için “Event Log Readers” grubuna “NETWORK SERVICE” adlı servis hesabı eklenmelidir.

Computer Configuration -> Policies -> Security Settings -> Restricted Groups -> Add Group -> Browse: Event Log Readers -> Members of this group: NETWORK SERVICE

 

Aksi halde aşağıdaki gibi bir hata mesajı ile karşılaşılabilir.

Log Name: Microsoft-Windows-Forwarding/Operational
Event ID: 105
Task Category: None
User: NETWORK SERVICE
Description:
The forwarder is having a problem communicating with subscription manager at address http://W19SRV.contoso.com:5985/wsman/SubscriptionManager/WEC. Error code is 2150859027 and Error Message is The WinRM client sent a request to an HTTP server and got a response saying the requested HTTP URL was not available. This is usually returned by a HTTP server that does not support the WS-Management protocol. </f:Message></f:WSManFault>.

Not: Eğer Collector Initiated yöntemi ile logu toplanacaksa, Restricted Groups ile “Event Log Readers” grubuna WEF sunucusunu “Computer” hesabı olarak eklenmelidir.

 

Not: Benzer olarak Collector Initiated yöntemi ile logu toplanacaksa, log toplamak için oluşturulan servis hesabı da eklenmelidir.

 

(Yazının devamında Source Computer Initiated olarak devam edeceğimiz için, son 2 adımı bilgilendirme amaçlı verilmiştir)

  • Oluşturulan WEF Client isimli GPO, loglarını toplayacağımız log kaynaklarının bulunduğu OU’ya (Organizational Unit) atıyoruz.

 

  • Bundan sonra da log istemcilerinin politikayı alması sağlanır.

gpupdate /force

 

E) WEF Sunucusu Üzerinde Olay Kayıtlarını Yönlendirilme

Subscription tanımlamak için WEF sunucusu üzerinde Event Viewer (eventvwr.msc) ile log kaynaklarından gelen kayıtların yönlendirilmesi sağlanabilir.

Event Viewer -> Subscriptions -> Create Subscription -> Subscription type and source computers -> Source Computer Initiated

 

Olay Müdahale Yönetimi‘nde her olay kaydının alınması yerine ihtiyaç duyulan kayıtların filtrelenerek alınması, SIEM sisteminin performansı açısından tercih edilen bir yöntemdir. Alınması gerekli olan ve tavsiye edilen kritik olay kayıtları aşağıda gibi sıralanabilir.

  • Windows Security EventID: 4740, 4776, 4720, 4672, 4728, 4732, 4756, 4735, 4624, 4634, 4625, 4648, 4688, 1102, 4647, 4778, 4779, 4723, 4724, 4781, 4768, 4771, 4772, 4697, 4657, 4698
  • System Event ID: 7030, 7045, 7034, 7035
  • Application Event ID: 1000, 1001, 1100, 5136, 5141, 5137, 1535, 2889, 2887, 2886

 

Son olarak, gecikmeyi en aza indirerek, ağ kaynak kullanımı en iyi şekilde gerçekleştirilmelidir.

Event Viewer -> Subscriptions -> Create Subscription -> Subscription type and source computers -> Advanced -> Event Delivery Optimization: Minimize Latency

 

Adımları tamamladıktan sonra aşağıdaki gibi subscription WEF istemci makineleri görülecektir.

 

 

Kaynaklar:

https://www.vkernel.ro/blog/how-to-configure-windows-event-log-forwarding
https://www.linkedin.com/pulse/wef-methoduyla-windows-client-server-sistemlerinin-security-%C3%B6zg%C3%BCd%C3%BCr/
https://www.linkedin.com/pulse/1-windows-event-forwarding-wef-architecture-gpo-mustafa-%C3%B6zg%C3%BCd%C3%BCr/
http://techgenix.com/setting-up-an-event-collecting-computer-6/

 

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.