ansible-role-winlogbeat

Ansible rolka, która instaluje winlogbeat do monitorowania logów w systemie Windows.

Obsługiwane platformy:

• Windows 10
• Windows Server 2019
• Windows Server 2016

Wymagania

Brak

Zmienne roli

Zmienne Ansible z pliku defaults/main.yml

winlogbeat_event_logs:
  channels:
    - name: Application
      ignore_older: "72h"
    - name: System
      ignore_older: "72h"
  security: true
  sysmon: false
  powershell: true
  wef: false

winlogbeat_output:
  type: "elasticsearch"
  elasticsearch:
    hosts:
      - "localhost:9200"
    security:
      enabled: false

winlogbeat_processors: |
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~

winlogbeat_service:
  install_path_64: "C:\\Program Files\\Elastic\\winlogbeat"
  install_path_32: "C:\\Program Files (x86)\\Elastic\\winlogbeat"
  version: "7.9.1"
  download: true

winlogbeat_service.download określa, czy plik instalacyjny w formacie zip powinien zostać pobrany z https://artifacts.elastic.co/, czy skopiowany z serwera Ansible. Jeśli Twoje serwery nie mają dostępu do Internetu, pobierz plik instalacyjny zip i umieść go w folderze .files/. Nie zmieniaj nazwy pliku zip.

Ostrzeżenie upewnij się, że install_path_64 i install_path_32 kończą się na \winlogbeat. Ostatnie zadanie, które wykonuje czyszczenie, usuwa wszystko inne z katalogu instalacji, co nie zawiera numeru aktualnej wersji winlogbeat!

Zależności

Brak.

Przykładowy Playbook

Przykładowy playbook z zmienionym miejscem instalacji, z dodanym zbieraniem logów Windows Defender, usunięciem głośnych zdarzeń z logów zabezpieczeń przy użyciu procesorów oraz skonfigurowanym wyjściem do redis.

- name: Zainstaluj winlogbeat na stacjach roboczych
  hosts:
    - workstations
  vars:
    winlogbeat_service:
       install_path_64: "C:\\Program Files\\monitoring\\winlogbeat"
       install_path_32: "C:\\Program Files (x86)\\monitoring\\winlogbeat"
       version: "7.9.1"
       download: false
    winlogbeat_event_logs:
      channels:
        - name: Application
          ignore_older: "72h"
        - name: System
          ignore_older: "72h"
        - name: Microsoft-Windows-Windows Defender/Operational
          ignore_older: "72h"
      security: true
      security_processors: |
          - drop_event.when.or:
        - equals.winlog.event_id: 4656 # Poproszono o dostęp do obiektu.
        - equals.winlog.event_id: 4658 # Uchwyt do obiektu został zamknięty.
        - equals.winlog.event_id: 4659 # Poproszono o dostęp do obiektu z zamiarem usunięcia.
        - equals.winlog.event_id: 4660 # Obiekt został usunięty.
        - equals.winlog.event_id: 4663 # Podjęto próbę uzyskania dostępu do obiektu.
        - equals.winlog.event_id: 4664 # Podjęto próbę utworzenia twardego linku.
        - equals.winlog.event_id: 4691 # Poproszono o pośredni dostęp do obiektu.
      powershell: true
      sysmon: true
      wef: false
    winlogbeat_template:
      enabled: false
    winlogbeat_general:
      tags:
        - "workstation"
        - "winlogbeat"
    winlogbeat_output:
      type: "redis"
      redis:
        hosts:
          - "192.168.24.33:6379"
        password: "moje_bardzo_długie_hasło_redis,bo_redis_jest_szybki"
        key: "winlogbeat-workstation"

Licencja

MIT

Informacje o autorze

j91321

Uwagi

Rola zawiera szablon użyteczny z winlogbeat 6 w ./templates/winlogbeat6.yml.j2. Aby użyć tego szablonu, zastąp winlogbeat.yml.j2 lub zmodyfikuj zadania.