Windows Security Operations Center


Prije dosta vremena naš CTO, Bojan Ždrnja, napravio je Splunk aplikaciju koja je pratila i analizirala Windows logove pod nazivom Windows Security Operations Center (nadalje WSOC). Bilo je to vrijeme prije nego što je postojao Splunk Enterprise Security, tako da je to bio pravi vizionarski projekt. Bila je to priča o uspjehu, izvrsna besplatna aplikacija od koje su korist imali mnogi.



Kako su godine prolazile, Splunk je napravio svoj vlastiti SIEM, mi smo napravili svoj vlastiti SIEM, pa nam je WSOC postao suvišan. No shvatili smo da je koristan za ljude koji nemaju naš set alata ili stručnost. Zato smo napravili verziju 2.0, pobrinuli se da bude kompatibilna s modernim sustavima, ali i zadržali ono što ju je činilo dobrom i korisnom. Odlučili smo zadržati podršku za, sada stare, Windows Server 2003 logove jer smo kroz naše interno istraživanje s mnogo različitih klijenata otkrili da još uvijek nailazimo na dobre stare 2003… Naravno, noviji i posljednji Windows Serveri su podržani.

OK, što je to točno?

WSOC je Splunk aplikacija koja unosi i analizira Windows logove (osobito autentikacijske logove); podržava formate logova wineventlog i xmlwineventlog.
Potreban vam je Splunk od verzije 7.x do 9.x (Enterprise ili Cloud) i morate skinuti besplatni Splunk add-on for Microsoft Windows (radi ga Splunk Inc.).



Nakon što sve postavite, trebali biste vidjeti aplikaciju s 19 dashboarda podijeljenih u četiri kategorije – Login Events, User Management, Change Control i Windows Firewall.



Login Events generira podatke iz logova provjere autentičnosti, a možete vidjeti Active Directory, NTLM i RDP (uspješni i neuspješni pokušaji).
User Management će prikazati promjene upravljanja korisnicima i grupama (dodavanje, uklanjanje, promjena za korisnike i grupe). Bit će lako vidjeti korisnike koji su dodani, izbrisani, zaključani, otključani, onemogućeni i tako dalje. Za grupe, osim osnovnih stvari, možete vidjeti i Security Enabled Global Group Members Added, Security Enabled Universal Group Members Added, and Security Enabled Local Group Members Added.
Change Control pokazuje vremensku sinkronizaciju, praćenje procesa, pregled statusa zakrpa, pregled instalacija Windowsa i nadzor aktivnosti koji također prati promjene pravila domene Windowsa, brisanje logova, ponovno pokretanje sustava i instalaciju novih servisas.
Windows Firewall prati promjene u konfiguraciji vatrozida – dodavanje i uklanjanje pravila, dopuštene i blokirane veze, dopuštena i blokirana povezivanja.



Iako WSOC neće i ne može zamijeniti moderni SIEM, to je izvrstan način za početak eksperimentiranja s analizom (Windows) logova i vizualizacijom općenito. Najbolja stvar je što je sve ovo besplatno – Splunk se može pokrenuti u besplatnoj verziji, Splunk add-on for Microsoft Windows je besplatan, WSOC je besplatan, tako da vas ništa ne sprječava da umočite svoje prste u ovo, usavršite svoje Splunk vještine i bolje vidite što se događa u vašem serverskom okruženju.