Jaa

Määritetään Windowsin tapahtumakokoelmaa

  • Artikkeli

Koskee: Advanced Threat Analytics -versio 1.9

Huomautus

ATA-versioissa 1.8 tai uudemmissa versioissa tapahtumakokoelman määritystä ei enää tarvita ATA Lightweight Gateway -yhdyskäytäville. ATA Lightweight Gateway lukee nyt tapahtumia paikallisesti ilman, että tapahtumien edelleenlähetystä tarvitsee määrittää.

Tunnistusominaisuuksien parantamiseksi ATA tarvitsee seuraavat Windows-tapahtumat: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. ATA-kevyt yhdyskäytävä voi joko lukea ne automaattisesti tai jos ATA-kevyttä yhdyskäytävää ei ole otettu käyttöön, se voidaan lähettää ATA-yhdyskäytävään kahdella tavalla määrittämällä ATA-yhdyskäytävä kuuntelemaan SIEM-tapahtumia tai määrittämällä Windowsin tapahtumien edelleenlähetys.

Huomautus

Jos käytät Server Corea, wecutilia voidaan käyttää etätietokoneista välitettyjen tapahtumien tilausten luomiseen ja hallintaan.

ATA Gatewayn WEF-määritys portin peilauksen avulla

Kun olet määrittänyt portin peilauksen toimialueen ohjauskoneista ATA-yhdyskäytävään, määritä Windowsin tapahtumien edelleenlähetys seuraavien ohjeiden avulla lähteen käynnistämän määrityksen avulla. Tämä on yksi tapa määrittää Windowsin tapahtumien edelleenlähetys.

Vaihe 1: Lisää verkkopalvelutili toimialueen tapahtumalokin lukijoiden ryhmään.

Tässä skenaariossa oletetaan, että ATA-yhdyskäytävä on toimialueen jäsen.

  1. Avaa Active Directoryn käyttäjät ja tietokoneet, siirry BuiltIn-kansioon ja kaksoisnapsauta Tapahtumalokin lukijat -kohtaa.
  2. Valitse Jäsenet.
  3. Jos verkkopalvelu ei ole luettelossa, valitse Lisää, kirjoita VerkkopalveluAnna objektien nimet valitaksesi kentän. Valitse sitten Tarkista nimet ja valitse OK kahdesti.

Kun olet lisännyt verkkopalvelunTapahtumalokin lukijat - ryhmään, käynnistä toimialueen ohjauskoneet uudelleen, jotta muutos tulee voimaan.

Vaihe 2: Luo käytäntö toimialueen ohjauskoneisiin määrittääksesi Tilauksenhallinnan kohdeasetukset -asetuksen.

Huomautus

Voit luoda ryhmäkäytännön näille asetuksille ja ottaa ryhmäkäytännön käyttöön kaikissa toimialueen ohjauskoneissa, joita ATA-yhdyskäytävä valvoo. Alla olevat vaiheet muokkaavat toimialueen ohjauskoneen paikallista käytäntöä.

  1. Suorita seuraava komento kullakin toimialueen ohjauskoneella: winrm quickconfig

  2. Komentokehotteen tyypistä gpedit.msc.

  3. Laajenna Tietokoneasetukset > Hallintamallit Windowsin > osat > Tapahtumien edelleenlähetys

    Paikallisen käytännön ryhmäeditorin kuva.

  4. Kaksoisnapsauta Määritä kohdetilausten hallinta -kohtaa.

    1. Valitse Käytössä.

    2. Valitse Asetukset-kohdastaNäytä.

    3. Anna SubscriptionManagers-kohtaan seuraava arvo ja valitse OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Esimerkki: Palvelin=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Määritä kohdetilauksen kuva.

    4. Valitse OK.

    5. Järjestelmänvalvojan oikeutetun komentokehotteen tyypistä gpupdate /force.

Vaihe 3: Suorita seuraavat vaiheet ATA-yhdyskäytävässä

  1. Avaa järjestelmänvalvojan oikeesti suoritettava komentokehote ja kirjoita wecutil qc

  2. Avaa Tapahtumienvalvonta.

  3. Napsauta Tilaukset hiiren kakkospainikkeella ja valitse Luo tilaus.

    1. Kirjoita tilauksen nimi ja kuvaus.

    2. Varmista kohdelokia varten, että edelleenlähätetyt tapahtumat on valittuna. Jotta ATA voi lukea tapahtumat, kohdelokin on oltava Välitetyt tapahtumat.

    3. Valitse Lähdetietokone käynnistetty ja valitse sitten Valitse tietokoneet Ryhmät.

      1. Valitse Lisää toimialue tietokone.
      2. Kirjoita toimialueen ohjauskoneen nimi Anna objektin nimi valitaksesi -kenttään. Valitse sitten Tarkista nimet ja valitse OK.
        Tapahtumienvalvonta kuvan.
      3. Valitse OK.

    4. Valitse Valitse tapahtumat.

      1. Valitse Lokin mukaan ja valitse Suojaus.
      2. Kirjoita Sisällytykset/pois jäljet -tapahtumatunnus -kenttään tapahtuman numero ja valitse OK. Kirjoita esimerkiksi 4776, kuten seuraavassa esimerkissä.

      Kyselyn suodatinkuva.

    5. Napsauta hiiren kakkospainikkeella luotua tilausta ja valitse Suorituksenaikainen tila , niin näet, liittyykö tilaan ongelmia.

    6. Tarkista muutaman minuutin kuluttua, että tapahtumat, jotka olet määrittänyt välitettäväksi, näkyvät ATA-yhdyskäytävän Edelleenläkitetyt tapahtumat -kohdassa.

Lisätietoja on ohjeaiheessa : Tietokoneiden määrittäminen tapahtumien edelleenlähetystä ja keräämistä varten

Katso myös