Compartir a través de

Configuración de la colección de eventos de Windows

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

Nota:

En las versiones 1.8 y posteriores de ATA, la configuración de la recopilación de eventos ya no es necesaria para las puertas de enlace ligeras de ATA. La puerta de enlace ligera de ATA ahora lee eventos localmente, sin necesidad de configurar el reenvío de eventos.

Para mejorar las funcionalidades de detección, ATA necesita los siguientes eventos de Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. La puerta de enlace ligera de ATA puede leerlas automáticamente o, en caso de que no se implemente la puerta de enlace ligera de ATA, se puede reenviar a la puerta de enlace de ATA de dos maneras, configurando la puerta de enlace de ATA para escuchar eventos SIEM o configurando el reenvío de eventos de Windows.

Nota:

Si usa Server Core, wecutil se puede usar para crear y administrar suscripciones a eventos que se reenvía desde equipos remotos.

Configuración de WEF para la puerta de enlace de ATA con creación de reflejo de puertos

Después de configurar la creación de reflejo de puertos desde los controladores de dominio a la puerta de enlace de ATA, use las siguientes instrucciones para configurar el reenvío de eventos de Windows mediante la configuración iniciada por el origen. Esta es una manera de configurar el reenvío de eventos de Windows.

Paso 1: Agregue la cuenta de servicio de red al grupo de lectores del registro de eventos de dominio.

En este escenario, suponga que la puerta de enlace de ATA es miembro del dominio.

  1. Abra Usuarios y equipos de Active Directory, vaya a la carpeta BuiltIn y haga doble clic en Lectores de registro de eventos.
  2. Seleccione Miembros.
  3. Si el servicio de red no aparece en la lista, seleccione Agregar y escriba Servicio de red en el campo Escriba los nombres de objeto que desea seleccionar . A continuación, seleccione Comprobar nombresy aceptar dos veces.

Después de agregar el servicio de red al grupo Lectores de registro de eventos, reinicie los controladores de dominio para que el cambio surta efecto.

Paso 2: Cree una directiva en los controladores de dominio para establecer la opción Configurar administrador de suscripciones de destino.

Nota:

Puede crear una directiva de grupo para esta configuración y aplicar la directiva de grupo a cada controlador de dominio supervisado por la puerta de enlace de ATA. Los pasos siguientes modifican la directiva local del controlador de dominio.

  1. Ejecute el siguiente comando en cada controlador de dominio: winrm quickconfig

  2. En un símbolo del sistema, escriba gpedit.msc.

  3. Expandir configuración > del equipo Plantillas > administrativas Reenvío de eventos de componentes > de Windows

    Imagen del editor de grupo de directivas local.

  4. Haga doble clic en Configurar administrador de suscripciones de destino.

    1. Seleccione Habilitado.

    2. En Opciones, seleccione Mostrar.

    3. En SubscriptionManagers, escriba el siguiente valor y seleccione Aceptar: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Por ejemplo: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configuración de la imagen de suscripción de destino.

    4. Seleccione Aceptar.

    5. Desde un símbolo del sistema con privilegios elevados, escriba gpupdate /force.

Paso 3: Realice los pasos siguientes en la puerta de enlace de ATA.

  1. Abra un símbolo del sistema con privilegios elevados y escriba wecutil qc

  2. Abra Visor de eventos.

  3. Haga clic con el botón derecho en Suscripciones y seleccione Crear suscripción.

    1. Escriba un nombre y una descripción para la suscripción.

    2. En Registro de destino, confirme que eventos reenviados está seleccionado. Para que ATA lea los eventos, el registro de destino debe ser Eventos reenviados.

    3. Seleccione Equipo de origen iniciado y, a continuación, seleccione Seleccionar equipos Grupos.

      1. Seleccione Agregar equipo de dominio.
      2. Escriba el nombre del controlador de dominio en el campo Escriba el nombre del objeto para seleccionar . A continuación, seleccione Comprobar nombres y seleccione Aceptar.
        Visor de eventos imagen.
      3. Seleccione Aceptar.

    4. Seleccione Seleccionar eventos.

      1. Seleccione Por registro y seleccione Seguridad.
      2. En el campo Includes/Excludes Event ID (Incluir o excluir identificador de evento ), escriba el número de evento y seleccione Aceptar. Por ejemplo, escriba 4776, como en el ejemplo siguiente.

      Imagen de filtro de consulta.

    5. Haga clic con el botón derecho en la suscripción creada y seleccione Estado en tiempo de ejecución para ver si hay algún problema con el estado.

    6. Después de unos minutos, compruebe que los eventos que ha establecido que se van a reenviar se muestren en eventos reenviados en la puerta de enlace de ATA.

Para obtener más información, vea: Configurar los equipos para reenviar y recopilar eventos.

Consulta también