Konfiguration af Windows Event Collection
Gælder for: Advanced Threat Analytics version 1.9
Bemærk!
For ATA version 1.8 og nyere er konfiguration af hændelsessamling ikke længere nødvendig for ATA Lightweight Gateways. ATA Lightweight Gateway læser nu hændelser lokalt uden at skulle konfigurere viderestilling af hændelser.
ATA skal bruge følgende Windows-hændelser for at forbedre registreringsfunktionerne: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Disse kan enten læses automatisk af ATA Lightweight Gateway, eller hvis ATA Lightweight Gateway ikke installeres, kan den videresendes til ATA Gateway på en af to måder ved at konfigurere ATA Gateway til at lytte til SIEM-hændelser eller ved at konfigurere Viderestilling af Windows-hændelse.
Bemærk!
Hvis du bruger Server Core, kan wecutil bruges til at oprette og administrere abonnementer på hændelser, der videresendes fra fjerncomputere.
WEF-konfiguration for ATA Gateways med portspejling
Når du har konfigureret portspejling fra domænecontrollere til ATA Gateway, skal du bruge følgende instruktioner til at konfigurere viderestilling af Windows-hændelser ved hjælp af konfigurationen Kildeinitieret. Dette er én måde at konfigurere videresendelse af Windows-hændelse på.
Trin 1: Føj netværkstjenestekontoen til gruppen Læsere af domænehændelseslog.
I dette scenarie antages det, at ATA Gateway er medlem af domænet.
- Åbn Active Directory-brugere og -computere, naviger til mappen Indbygget, og dobbeltklik på Læsere af hændelseslog.
- Vælg Medlemmer.
- Hvis Netværkstjeneste ikke er angivet, skal du vælge Tilføj, skrive Netværkstjeneste i feltet Angiv de objektnavne, der skal vælges . Vælg derefter Kontrollér navne, og vælg OK to gange.
Når du har føjet netværkstjeneste til gruppen Læsere af hændelseslog , skal du genstarte domænecontrollerne, så ændringen kan træde i kraft.
Trin 2: Opret en politik for domænecontrollerne for at angive indstillingen Konfigurer abonnementsstyring for mål.
Bemærk!
Du kan oprette en gruppepolitik for disse indstillinger og anvende gruppepolitikken på hver domænecontroller, der overvåges af ATA Gateway. Nedenstående trin ændrer domænecontrollerens lokale politik.
Kør følgende kommando på hver domænecontroller: winrm quickconfig
Fra en kommandoprompttype gpedit.msc.
Udvid Computerkonfiguration > Administrative skabeloner > Windows-komponenter > Viderestilling af hændelse
Dobbeltklik på Konfigurer målabonnementsstyring.
Vælg Aktiveret.
Under Indstillinger skal du vælge Vis.
Angiv følgende værdi under SubscriptionManagers, og vælg OK:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10(f.eks.: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)
Vælg OK.
Fra kommandoprompttypen gpupdate /force med administratorrettigheder.
Trin 3: Udfør følgende trin på ATA Gateway
Åbn en kommandoprompt med administratorrettigheder, og skriv wecutil qc
Åbn Logbog.
Højreklik på Abonnementer, og vælg Opret abonnement.
Angiv et navn og en beskrivelse til abonnementet.
Som Destinationslog skal du bekræfte, at Videresendte hændelser er valgt. Hvis ATA skal læse hændelserne, skal destinationsloggen være Videresendte hændelser.
Vælg Kildecomputer startet, og vælg derefter Vælg computere Grupper.
- Vælg Tilføj domænecomputer.
- Angiv navnet på domænecontrolleren i feltet Angiv objektnavnet, der skal vælges . Vælg derefter Kontrollér navne, og vælg OK.
- Vælg OK.
Vælg Vælg hændelser.
- Vælg Efter log, og vælg Sikkerhed.
- I feltet Medtag/Udelad hændelses-id skal du skrive hændelsesnummeret og vælge OK. Du kan f.eks. skrive 4776 som i følgende eksempel.
Højreklik på det oprettede abonnement, og vælg Kørselsstatus for at se, om der er problemer med status.
Efter et par minutter skal du kontrollere, at de hændelser, du har angivet til at blive videresendt, vises i Videresendte hændelser på ATA Gateway.
Du kan finde flere oplysninger under: Konfigurer computerne til at videresende og indsamle hændelser