Freigeben über

Konfigurieren der Windows-Ereignissammlung

  • Artikel

Gilt für: Advanced Threat Analytics Version 1.9

Hinweis

Für ATA-Versionen 1.8 und höher ist die Ereignissammlungskonfiguration für ATA Lightweight-Gateways nicht mehr erforderlich. Das ATA Lightweight Gateway liest ereignisse jetzt lokal, ohne dass die Ereignisweiterleitung konfiguriert werden muss.

Um die Erkennungsfunktionen zu verbessern, benötigt ATA die folgenden Windows-Ereignisse: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Diese können entweder automatisch vom ATA-Lightweight-Gateway gelesen werden, oder wenn das ATA-Lightweight-Gateway nicht bereitgestellt wird, kann es auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, indem das ATA-Gateway so konfiguriert wird, dass es auf SIEM-Ereignisse lauscht, oder indem die Windows-Ereignisweiterleitung konfiguriert wird.

Hinweis

Wenn Sie Server Core verwenden, kann wecutil zum Erstellen und Verwalten von Abonnements für Ereignisse verwendet werden, die von Remotecomputern weitergeleitet werden.

WEF-Konfiguration für ATA-Gateways mit Portspiegelung

Nachdem Sie die Portspiegelung von den Domänencontrollern zum ATA-Gateway konfiguriert haben, verwenden Sie die folgenden Anweisungen, um die Windows-Ereignisweiterleitung mithilfe der quellinitiierte Konfiguration zu konfigurieren. Dies ist eine Möglichkeit zum Konfigurieren der Windows-Ereignisweiterleitung.

Schritt 1: Hinzufügen des Netzwerkdienstkontos zur Gruppe "Ereignisprotokollleser" der Domäne.

Gehen Sie in diesem Szenario davon aus, dass das ATA-Gateway Mitglied der Domäne ist.

  1. Öffnen Sie Active Directory-Benutzer und -Computer, navigieren Sie zum Ordner BuiltIn, und doppelklicken Sie auf Ereignisprotokollleser.
  2. Wählen Sie Mitgliederaus.
  3. Wenn Der Netzwerkdienst nicht aufgeführt ist, wählen Sie Hinzufügen aus, und geben Sie netzwerkdienst in das Feld Geben Sie die Namen des auszuwählenden Objekts ein . Wählen Sie dann Namen überprüfen und zweimal OK aus.

Nachdem Sie den Netzwerkdienst zur Gruppe Ereignisprotokollleser hinzugefügt haben , starten Sie die Domänencontroller neu, damit die Änderung wirksam wird.

Schritt 2: Erstellen Sie eine Richtlinie auf den Domänencontrollern, um die Einstellung Zielabonnement-Manager konfigurieren festzulegen.

Hinweis

Sie können eine Gruppenrichtlinie für diese Einstellungen erstellen und die Gruppenrichtlinie auf jeden Domänencontroller anwenden, der vom ATA-Gateway überwacht wird. Mit den folgenden Schritten wird die lokale Richtlinie des Domänencontrollers geändert.

  1. Führen Sie den folgenden Befehl auf jedem Domänencontroller aus: winrm quickconfig

  2. Geben Sie an einer Eingabeaufforderung gpedit.msc ein.

  3. Erweitern Sie Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten-Ereignisweiterleitung >

    Abbildung des Editors für lokale Richtliniengruppen.

  4. Doppelklicken Sie auf Zielabonnement-Manager konfigurieren.

    1. Wählen Sie Aktiviert aus.

    2. Wählen Sie unter Optionen die Option Anzeigen aus.

    3. Geben Sie unter SubscriptionManagers den folgenden Wert ein, und wählen Sie OK aus: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Beispiel: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Konfigurieren Sie das Zielabonnementimage.

    4. Wählen Sie OK aus.

    5. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten gpupdate /force ein.

Schritt 3: Führen Sie die folgenden Schritte auf dem ATA-Gateway aus.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie wecutil qc ein.

  2. Öffnen Sie Ereignisanzeige.

  3. Klicken Sie mit der rechten Maustaste auf Abonnements , und wählen Sie Abonnement erstellen aus.

    1. Geben Sie einen Namen und eine Beschreibung für das Abonnement ein.

    2. Vergewissern Sie sich unter Zielprotokoll, dass Weitergeleitete Ereignisse ausgewählt ist. Damit ATA die Ereignisse lesen kann, muss das Zielprotokoll Weitergeleitete Ereignisse sein.

    3. Wählen Sie Quellcomputer initiiert und dann Computer Gruppen auswählen aus.

      1. Wählen Sie Domänencomputer hinzufügen aus.
      2. Geben Sie den Namen des Domänencontrollers in das Feld Geben Sie den auszuwählenden Objektnamen ein . Wählen Sie dann Namen überprüfen und dann OK aus.
        Ereignisanzeige Bild.
      3. Wählen Sie OK aus.

    4. Wählen Sie Ereignisse auswählen aus.

      1. Wählen Sie Nach Protokoll und dann Sicherheit aus.
      2. Geben Sie im Feld Includes/Excludes Event ID (Ereignis-ID eingeschlossen/ausgeschlossen ) die Ereignisnummer ein, und wählen Sie OK aus. Geben Sie z. B. 4776 ein, wie im folgenden Beispiel gezeigt.

      Abfragefilterbild.

    5. Klicken Sie mit der rechten Maustaste auf das erstellte Abonnement, und wählen Sie Laufzeitstatus aus, um festzustellen, ob Probleme mit dem status.

    6. Überprüfen Sie nach einigen Minuten, ob die Ereignisse, die Sie für die Weiterleitung festlegen, in den weitergeleiteten Ereignissen auf dem ATA-Gateway angezeigt werden.

Weitere Informationen finden Sie unter Konfigurieren der Computer zum Weiterleiten und Sammeln von Ereignissen.

Siehe auch