Collecter des données Microsoft Windows AD

Ce document inclut les informations suivantes:

• L'architecture et les étapes d'installation du déploiement, ainsi que toutes les configurations requises qui génèrent des journaux compatibles avec l'analyseur Chronicle pour les événements Microsoft Windows Active Directory. Pour une présentation de l'ingestion de données Chronicle, consultez la page Ingestion de données vers Chronicle.
• Informations sur la manière dont l'analyseur mappe les champs du journal d'origine avec les champs Chronicle Unified Data Model.

Les informations contenues dans ce document s'appliquent à l'analyseur associé au libellé d'ingestion WINDOWS_AD. L'étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré.

Avant de commencer

Examiner l'architecture de déploiement recommandée

Ce schéma illustre les composants de base recommandés dans une architecture de déploiement pour collecter et envoyer des événements Microsoft Windows à Chronicle. Comparez ces informations avec votre environnement pour vous assurer que ces composants sont installés. Chaque déploiement de client sera différent de cette représentation et pourra être plus complexe. Les informations suivantes sont requises:

• Tous les systèmes de l'architecture de déploiement sont configurés avec le fuseau horaire UTC.
• Le script Powershell est créé et configuré sur chaque serveur Microsoft Windows AD pour collecter les données USER_CONTEXT et ASSET_CONTEXT.
• NXLog est installé sur chaque serveur Microsoft Windows AD pour envoyer des données au serveur central Microsoft Windows ou Linux.

• Le redirecteur Chronicle est installé sur le serveur central Microsoft Windows ou Linux pour transférer les données des journaux vers Chronicle.

  

Examiner les appareils et les versions compatibles

L'analyseur Chronicle est compatible avec les journaux des versions de serveur Microsoft Windows suivantes. Microsoft Windows Server est disponible avec les éditions suivantes: Foundation, Essentials, Standard et Datacenter. Le schéma d'événement des journaux générés par chaque édition ne diffère pas.

• Microsoft Windows Server 2019
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012

L'analyseur Chronicle est compatible avec les journaux collectés par NXLog Community ou Enterprise Edition.

Examiner les types de journaux compatibles

L'analyseur Chronicle analyse et normalise les données extraites du contexte utilisateur et du contexte d'élément. Il est compatible avec les journaux générés en anglais et n'est pas compatible avec les journaux générés dans une langue autre que l'anglais.

Configurer les serveurs Microsoft Windows AD

Étapes de configuration des serveurs Microsoft Windows AD dans l'architecture de déploiement:

1. Configurez tous les systèmes avec le fuseau horaire UTC.
2. Sur chaque serveur Microsoft Windows Active Directory, créez et configurez un script PowerShell pour collecter les données de journalisation dans un fichier de sortie. NXLog lit le fichier de sortie et envoie des données au serveur central Microsoft Windows ou Linux.

3. Créez le script Powershell. Consultez l'exemple ci-dessous. Remplacez la valeur de $OUTPUT_FILENAME par l'emplacement où le fichier de sortie doit être écrit. Ce fichier sera lu par NXLog. Les données doivent être stockées au format JSON. Définissez l'encodage sur utf8. Utilisez le paramètre -Filter plutôt que le paramètre -LDAPFilter lorsque vous appelez les cmdlets Get-ADUser et Get-ADComputer.

   # Set the location where the log file will be written
   $OUTPUT_FILENAME="<Path_of_the_output_file>"
   
   If (Test-Path -Path $OUTPUT_FILENAME) { Remove-Item -path $OUTPUT_FILENAME -ErrorAction SilentlyContinue}
   
   # USER_CONTEXT: Gets all Active Directory users and their properties.
   Get-ADUser -Filter * -properties samAccountName | % { Get-ADUser $_.SamAccountName -properties * | ConvertTo-JSON -compress | Out-File -encoding utf8 $OUTPUT_FILENAME -Append }
   
   # ASSET_CONTEXT: Gets all Active Directory assets and their properties.
   Get-ADComputer -Filter * -properties samAccountName | % { Get-ADComputer $_.SamAccountName -properties * | ConvertTo-JSON -compress | Out-File -encoding utf8 $OUTPUT_FILENAME -Append }
   

4. Créez une tâche récurrente qui exécute le script afin de récupérer et d'écrire des données dans le fichier de sortie.

   1. Ouvrez l'application du Planificateur de tâches.
   2. Cliquez sur "Créer une tâche" dans le panneau de droite.
   3. Saisissez le nom et la description de la tâche.

   4. Cochez la case "Exécuter avec les privilèges les plus élevés" pour vous assurer que toutes les données sont récupérées.

   5. Dans l'onglet "Déclencheurs", définissez le moment où vous souhaitez répéter la tâche.

   6. Dans l'onglet "Action", ajoutez une nouvelle action et indiquez le chemin d'accès au fichier dans lequel le script est stocké.

5. Installez l'agent NXLog sur chaque serveur Microsoft Windows Active Directory. Cette application transfère les journaux au serveur central Microsoft Windows ou Linux. Suivez la documentation NXLog.

6. Créez un fichier de configuration pour chaque instance NXLog. Utilisez le module im_file NXLog pour lire le fichier et analyser les lignes en champs. Utilisez le module om_tcp pour transférer des données vers le serveur central Microsoft Windows ou Linux.

   Voici un exemple de configuration NXLog. Remplacez les valeurs <hostname> et <port> par des informations sur le serveur central Microsoft Windows ou Linux de destination. Dans la section <Input in_adcontext> et la propriété File, ajoutez le chemin d'accès au fichier journal de sortie écrit par le script Powershell. Définissez toujours DirCheckInterval et PollInterval. S'ils ne sont pas définis, NXLog interroge les fichiers toutes les secondes.

   define ROOT C:\Program Files\nxlog
   define ADCONTEXT_OUTPUT_DESTINATION_ADDRESS <hostname>
   define ADCONTEXT_OUTPUT_DESTINATION_PORT <port>
   
   Moduledir   %ROOT%\modules
   CacheDir    %ROOT%\data
   Pidfile     %ROOT%\data\nxlog.pid
   SpoolDir    %ROOT%\data
   LogFile     %ROOT%\data\nxlog.log
   
   <Input in_adcontext>
       Module im_file
       File "<Path_of_the_output_file>"
       DirCheckInterval 3600
       PollInterval 3600
   </Input>
   
   <Output out_chronicle_adcontext>
       Module  om_tcp
       Host    %ADCONTEXT_OUTPUT_DESTINATION_ADDRESS%
       Port    %ADCONTEXT_OUTPUT_DESTINATION_PORT%
   </Output>
   
   <Route ad_context_to_chronicle>
       Path in_adcontext => out_chronicle_adcontext
   </Route>
   

7. Démarrez le service NXLog dans chaque système.

Configurer le serveur Microsoft Windows ou Linux central

Consultez la page Installer et configurer le redirecteur sous Linux ou Installer et configurer le redirecteur sous Microsoft Windows pour en savoir plus sur l'installation et la configuration du redirecteur.

1. Configurez le système avec le fuseau horaire UTC.
2. Installez le redirecteur Chronicle sur le serveur central Microsoft Windows ou Linux.

3. Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Voici un exemple de configuration de redirecteur.

     - syslog:
         common:
           enabled: true
           data_type: WINDOWS_AD
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Documentation de référence sur le mappage de champs: champs de journaux de l'appareil et champs UDM

Cette section décrit comment l'analyseur mappe les champs de journaux d'origine avec les champs du modèle de données unifié.

Journaux de contexte utilisateur

Journaux de contexte d'élément