Настройка аудита безопасности в ОС Windows и подключение к SIEM

Цель: Получение практических навыков работы с событиям безопасности в ОС Windows.

Описание: В данной практической работе вам предстоит настроить аудит безопасности в ОС Windows и подключить хост в качестве источника событий к SIEM Wazuh.

Задачи:

1. Развернуть предложенную виртуальную машину (ВМ) с ОС Windows 10 или выполнить установку ОС самостоятельно. Учётные данные для предложенной ВМ: win10user:Qwerty123!
2. Скачать утилиту Sysmon с официального сайта Microsoft и установить.
3. Скачать конфигурацию для Sysmon с Github и применить.
4. С помощью утилиты «Просмотр событий» проверить в соответствующем журнале, что события утилиты Sysmon поступают в него.
5. С помощью утилиты «Локальная политика безопасности» включить аудит отслеживания процессов с параметрами «Успех» и «Отказ».
6. С помощью утилиты «Редактор локальной групповой политики» («Изменение групповой политики») настроить параметр политики «Аудит создания процессов»: включить командную строку в события создания процессов (должно быть состояние «Включена»).
7. Установить агент Wazuh на хост с ОС Windows 10, запустить и проверить его наличие в SIEM.
8. В конфигурационный файл агента Wazuh на хосте с ОС Windows 10 добавить отправку в SIEM событий журнала Security с Event ID 4688 и журнала Sysmon с Event ID 1 и 3.

Формат ответа: скриншоты с описанием на каждую выполненную задачу.