Konfigurace shromažďování událostí systému Windows
Platí pro: Advanced Threat Analytics verze 1.9
Poznámka
Pro ATA verze 1.8 a vyšší už konfigurace shromažďování událostí není pro ATA Lightweight Gateway nutná. ATA Lightweight Gateway teď čte události místně, aniž by bylo nutné konfigurovat předávání událostí.
K vylepšení možností detekce potřebuje ATA následující události Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. AtA Lightweight Gateway je může číst automaticky, nebo v případě, že ATA Lightweight Gateway není nasazená, může je předat ATA Gateway jedním ze dvou způsobů, a to nakonfigurováním komponenty ATA Gateway tak, aby naslouchala událostem SIEM, nebo konfigurací předávání událostí systému Windows.
Poznámka
Pokud používáte jádro serveru, můžete pomocí nástroje wecutil vytvářet a spravovat odběry událostí předávaných ze vzdálených počítačů.
Konfigurace WEF pro ATA Gateway se zrcadlení portů
Po konfiguraci zrcadlení portů z řadičů domény do ATA Gateway pomocí následujících pokynů nakonfigurujte předávání událostí Windows pomocí konfigurace iniciované zdrojem. Toto je jeden ze způsobů, jak nakonfigurovat předávání událostí systému Windows.
Krok 1: Přidejte účet síťové služby do skupiny Event Log Readers v doméně.
V tomto scénáři předpokládejme, že ATA Gateway je členem domény.
- Otevřete Uživatelé a počítače služby Active Directory, přejděte do složky BuiltIn a poklikejte na Čtečky protokolů událostí.
- Vyberte Členové.
- Pokud síťová služba není uvedená, vyberte Přidat a do pole Zadejte názvy objektů, které chcete vybrat, zadejte Síťová služba. Pak vyberte Zkontrolovat jménaa dvakrát ok .
Po přidání síťové služby do skupiny Event Log Readers restartujte řadiče domény, aby se změna projevila.
Krok 2: Vytvořte na řadičích domény zásadu pro nastavení Konfigurace cílového správce předplatného.
Poznámka
Pro tato nastavení můžete vytvořit zásady skupiny a použít je na každý řadič domény monitorovaný službou ATA Gateway. Následující postup upraví místní zásady řadiče domény.
Na každém řadiči domény spusťte následující příkaz: winrm quickconfig
Z příkazového řádku zadejte gpedit.msc.
Rozbalte Položku Konfigurace > počítače Šablony pro > správu Součásti systému > Windows Předávání událostí
Poklikejte na Konfigurovat cílového správce předplatného.
Vyberte Povoleno.
V části Možnosti vyberte Zobrazit.
V části SubscriptionManagers zadejte následující hodnotu a vyberte OK:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10(Příklad: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)
Vyberte OK.
Na příkazovém řádku se zvýšenými oprávněními zadejte gpupdate /force.
Krok 3: Provedení následujících kroků na ATA Gateway
Otevřete příkazový řádek se zvýšenými oprávněními a zadejte wecutil qc.
Otevřete Prohlížeč událostí.
Klikněte pravým tlačítkem na Předplatná a vyberte Vytvořit předplatné.
Zadejte název a popis předplatného.
V části Cílový protokol ověřte, že je vybraná možnost Forwarded Events (Přeposílané události ). Aby ATA četla události, musí být cílový protokol Přeposlané události.
Vyberte Iniciovaný zdrojový počítač a pak zvolte Vybrat počítače Skupiny.
- Vyberte Přidat počítač domény.
- Do pole Zadejte název objektu k výběru zadejte název řadiče domény. Pak vyberte Zkontrolovat jména a vyberte OK.
- Vyberte OK.
Vyberte Vybrat události.
- Vyberte Podle protokolu a vyberte Zabezpečení.
- Do pole Zahrne nebo vyloučí ID události zadejte číslo události a vyberte OK. Zadejte například 4776, jako v následující ukázce.
Klikněte pravým tlačítkem na vytvořené předplatné a vyberte Stav modulu runtime , abyste zjistili, jestli nedošlo k problémům se stavem.
Po několika minutách zkontrolujte, jestli se události, které jste nastavili pro přeposílání, zobrazují v části Předávané události na ATA Gateway.
Další informace najdete v tématu Konfigurace počítačů pro předávání a shromažďování událostí.