SIEM/Log Management Cài đặt Windows Active Directory server và thu thập Application Log

Directory & Directory Service:​

- Directory (thư mục) là một cấu trúc phân cấp (hierarchical structure) lưu trữ thông tin về các đối tượng (objects) trong mạng.​

- Directory Service (dịch vụ thư mục), ví dụ như Active Directory Domain Services (AD DS), cung cấp phương thức để lưu trữ dữ liệu thư mục và làm cho dữ liệu này có thể truy cập được bởi người dùng và quản trị viên trong mạng.​

Active Directory​

- Active Directory (AD) là dịch vụ thư mục (directory service) do Microsoft phát triển, chạy trên hệ điều hành Windows Server, dùng để quản lý tập trung người dùng, máy tính và tài nguyên mạng trong một hệ thống doanh nghiệp.​

- Active Directory Domain Services (AD DS) là trung tâm của AD, biến Windows Server thành Domain Controller (DC) để xác thực và phân quyền người dùng​

- Quản trị viên sử dụng AD để lưu trữ và tổ chức các đối tượng trên mạng như người dùng, máy tính, thiết bị,.. vào một cấu trúc có phân cấp bảo mật gọi là logical structure và forest và domain là thành phần nền tảng của cấu trúc.​

​

Cấu trúc​

- Forest: Là ranh giới bảo mật (security boundary) lớn nhất trong AD, chứa nhiều domain, cho phép quản trị độc lập hoặc cách ly dữ liệu giữa các bộ phận/tổ chức. Quản trị viên trong Forest có toàn quyền với dữ liệu và Domain Controller trong forest đó.​

- Domain: Là phân vùng (partition) của dữ liệu trong Forest. Một Forest có thể chứa nhiều Domain, mỗi Domain tự quản lý dữ liệu/dịch vụ nhưng vẫn chung một Forest-> giúp phân tách trách nhiệm nhưng vẫn có thể chia sẻ tài nguyên.​

- OU (Organizational Unit): Là đơn vị tổ chức trong Domain. Bên trong một Domain, ta có thể chia nhỏ thành các OU, nhóm các object (người dùng, máy tính, group) theo phòng ban, địa điểm… để quản lý và áp chính sách (GPO) dễ dàng​

- Schema: Là bộ quy tắc định nghĩa các loại đối tượng (object) trong AD và thuộc tính của chúng, đảm bảo dữ liệu lưu trong AD có cấu trúc chuẩn và hợp lệ, schema có thể được mở rộng để thêm object mới. Chỉ có một schema trong một forest. Nhưng mỗi domain controller giữ một bản copy để đảm bảo mọi nơi đều nhất quán.​

- Data store: Là phần cơ sở dữ liệu vật lý để lưu trữ dữ liệu AD, nơi lưu dữ liệu thật (giá trị của các attribute).​

DNS (Domain Name System)​

- DNS là nền tảng bắt buộc khi dùng Active Directory. Là cơ chế cốt lõi để client tìm Domain Controller​

Các thành phần:​

+ Locator (Bộ định vị Domain Controller) triển khai bởi net log, giúp máy client khi mới đăng nhập vào Domain tìm được Domain Controller để xác thực.​

+ Active Directory domain names in DNS: Mỗi domain trong AD có một tên miền DNS, máy tính trong domain cũng có một DNS name.​

+ Active Directory DNS objects: Khi lưu dữ liệu DNS trong AD thì​

Hệ điều hành: Windows Server 2016​

Cấu hình RAM 4GB, bộ nhớ >=40 GB​

Đặt IP tĩnh cho Server​

Control Panel -> Network and Sharing Center -> Change adapter settings​

Chọn card mạng -> Properties -> IPv4​

Đặt IP tĩnh, trong đó DNS server trỏ vào IP của server.​

Bật server manager -> vào manager chọn Add Roles and Features​

Chọn Role-based or feature-based installation -> Next​

Chọn server hiện tại -> Next​

Chọn tick vào Active Directory Domain Services​

Chọn Add feature để cài thêm các tính năng liên quan -> Next​

Chọn Next​

Chọn Next -> Install​

Sau khi install xong:​

Chọn dòng Promote this server to a domain controller​

Vì đây là domain đầu tiên nên ta chọn Add a new forest​

Đặt tên domain là lab.local -> next -> đặt password​

Chọn Next​

Chọn Next​

Chọn Next​

Chọn Next​

Chọn Install​

Sau khi cài đặt xong server sẽ restart và lúc này trở thành domain controller sẽ có công cụ Active Directory Users and Computers để quản lý.​

Có thể tạo user, group, OU và các máy khác join vào domain lab.local được​

Sau khi restart ta đăng nhập bằng username LAB\Administrator password của Windows Administrator đã cài​

Ta vào Server manager và thấy có AD DS đã được cài thành công​

Active Directory (AD DS) cũng như các role/dịch vụ khác trong Windows Server đều ghi log vào Windows Event Log.​

Dưới đây triển khai thu thập logs bằng fluent bit.​

Truy cập https://packages.fluentbit.io/windows/fluent-bit-4.0.9-win64.exe tải file và cài đặt​

Khi cài theo mặc định fluent bit sẽ được lưu tại C:\Program Files\fluent-bit​

Chỉnh sửa file fluent-bit.conf tại đường dẫn C:\Program Files\fluent-bit\conf​

=> Fluent bit sẽ collect tất cả Application logs và lưu vào file tại đường dẫn​

Sau khi chỉnh sửa lưu và đóng file​

Chạy fluent-bit​

Các log thu được:​