Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

Необходимость мониторинга журнала событий Windows не вызывает сомнений. На эту тему регулярно появляются статьи, в том числе и на Хабре. Однако, почему-то все примеры сводятся к мониторингу заранее определенных EventID. В своей утилите WinLogCheck я выбрал другой путь — получить отчет по EventLog, исключив события, которые регулярно появляются и не представляют для меня интереса.

Привет Хабр! Несколько лет назад мы столкнулись с проблемой знакомой пожалуй большинству компаний ведущих бизнес в интернете — как эффективно мониторить сервера и максимально исключить неожиданные выходы их из строя?

Сервера под управлением Windows Server имеют очень эффективный источник информации о работе системы, журналы событий (Window Event Logs). Там можно найти практически все, отчеты о проблемах чтения/записи жестких дисков до попыток подбора паролей через внешние сервисы. Однако интерфейс журналов событий не предоставляет удобные возможности подключения к ним удаленно. Большинству системных администраторов приходится заходить на каждый сервер по отдельности и рыться в тысячах событий которые генерируются системой каждые несколько часов.

Программные решения которые немного облегчают труд системного администратора и собирают все необходимые данные на одном экране весьма дороги. К примеру набор инструментов для мониторинга логов от Solarwinds.com стоит от 2500$.

Пару лет назад мы разработали для нашего внутреннего пользования небольшой сервис который собирал данные их журналов событий и посылал все в единую базу данных. Оттуда все это выводилось на административную страничку и обзор того что произошло с момента последней проверки стал занимать всего несколько минут в день.
Быстро обнаружилось что сервис надо доработать, добавить фильтры чтобы скрыть события которые не являются важными и создать сервис оповещений чтобы иметь возможность быстро сообщить администраторам когда в логе начали появляться критические события.

Так родился наш проект — WinLogViewer.com. Бесплатный сервис для мониторинга журналов событий на Windows серверах.

Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.

На пороге создания нового проекта

Давайте притворимся, что бизнесу, который рулит нашей маленькой, но гордой командой разработчиков, потребовалось сделать что-то новое. Мы довольно умны (и набили достаточно шишек), чтобы не изобретать велосипеды, поэтому мы начинаем с глубокого погружения в интернет, в поисках того, что было давно и успешно сделано по аналогичным требованиям нашими коллегами. Внезапно оказывается, что существующие решения описаны поверхностно, расплывчато и противоречиво.