Enviando nuestros Log’s, de Windows, a Graylog2.

Enviando nuestros Log’s, de Windows, a Graylog2.

Enviando nuestros Log’s, de Windows, a Graylog2.

Graylog es un SIEM libre y abierto, donde centralizaremos todos los log’s de nuestro entorno sobre MongoDB y Elasticsearch. Usando Graylog podemos, de una manera fácil, recolectar y analizar los Log’s de todos nuestros servidores. Elasticsearch almacenara nuestros log’s y nos proporcionara maneras sencillas de buscar en ellos. MongoDB guardara nuestras configuraciones y meta data. Graylog recolectara todos estos log’s, a través de inputs, y nos dará una interfaz Web para su manejo.

Arquitectura

Para esta prueba de concepto, nuestra infraestructura sera la siguiente:

Graylog ServerUbuntu 18.04Windows Server 2012 R2
graylog.ironbox.localAD01.ironbox.local
10.0.2.2010.0.2.19

Dejaremos la configuración, de Linux, para una próxima entrada.

Instalación de Graylog

Vamos a comenzar con la instalación de nuestro SIEM sobre nuestro Ubuntu 18.04.

Actualización del Servidor

Actualizamos e instalamos Java con otros componentes.

Vamos a comprobar la versión de Java.

Instalación de Elasticsearch

Elasticsearch es uno de los componentes principales que requiere que Graylog se ejecute, actúa como un servidor de búsqueda, ofrece una búsqueda distribuida en tiempo real y análisis con la interfaz web RESTful.

Elasticsearch almacena todos los registros enviados por el servidor de Graylog y muestra los mensajes cada vez que el usuario lo solicita a través de la interfaz web incorporada.

Descargamos e instalamos la clave de firma GPG.

Vamos a hacer que Elasticsearch inicie en el Boot y configuramos el cluster.name.

Debería quedarnos, de esta manera.

Vamos a reiniciar, la nueva configuración y revisar si nos responde! Deberíamos de tener como claster.name graylog y el status en Green. Lo revisamos.

Instalación de MongoDB

Graylog usa MongoDB para almacenar sus datos de configuración, no sus datos de registro. Solo se almacenan los metadatos, como la información del usuario o las configuraciones de flujo.

Instalación de Graylog

Graylog Server acepta y procesa los mensajes de registro y luego los muestra para las solicitudes que provienen de la interfaz web de graylog. Descargue e instale el repositorio graylog 3.x.

Configuración Graylog

Debe establecer un secreto para proteger las contraseñas de usuario. Usa el comando pwgen para el mismo y pasamos por SH256sum el que sera nuestra contraseña para admin.

Reiniciamos y configuramos para que se inicie automáticamente. Revisamos los log’s hasta tener nuestro servidor en linea.

Configuración de Windows Server 2012 R2

Descargamos el NXLog, desde su web.

Instalamos en Windows y vamos a configurar el archivo nxlog.conf que se encuentra en C:\Program Files (86x)\nxlog\conf\

Vamos a prestar atención a 2 lineas. La primera, donde se define la ruta del software y la segunda, la dirección TCP donde enviaremos los eventos. Osea la dirección de nuestro servidor Graylog.

Vamos a configurar la Auditoria, de Windows, para poder observar el ABM de cuentas, como los Logon y Logoff. Para ello vamos a ir a Local Security Policy.

Hacemos Inicio > Ejecutar > services.msc e iniciamos NXLog.

Solo nos queda configurar el INPUT, en Graylog, para que comience a recibir los Log’s. Siguiendo nuestra configuracion, de NXLog, vamos a crear un INPUT en el puerto 12201, GELF UDP.

Vemos que empiezan a fluir los Log’s.

En el Market Place de Graylog, podrán encontrar interesantes Dashboard’s armados por la comunidad.

Aquí les dejo un PDF, interesante, para configurar Windows.

Vamos a instalar este Content Pack. Con las funciones, vitales, de Active Directory. En esta PoC, creamos una cuenta para verla reflejada en nuestro Dashboard.

Picamos en AD User Object Summary, donde tendremos un snapshot de todos los datos de ABM en Active Directory.

Seguiremos sumando INPUT’s a nuestro SIEM. Un componente, vital, para nuestro día a día y para también hacer frente a auditorias!

Cualquier, duda, no duden en escribirme! Les comparto los comandos, en un TXT, y el archivo de configuración de NXLog.

Les dejo los comandos, de Instalación, para que puedan hacer copy / paste.

Hasta la próxima!