Configuration de la collection d’événements Windows
S’applique à : Advanced Threat Analytics version 1.9
Remarque
Pour ATA versions 1.8 et ultérieures, la configuration de collecte d’événements n’est plus nécessaire pour les passerelles légères ATA. La passerelle légère ATA lit désormais les événements localement, sans avoir à configurer le transfert d’événements.
Pour améliorer les fonctionnalités de détection, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Ceux-ci peuvent être lus automatiquement par la passerelle légère ATA ou, si la passerelle légère ATA n’est pas déployée, elles peuvent être transférées à la passerelle ATA de deux façons, en configurant la passerelle ATA pour écouter les événements SIEM ou en configurant le transfert d’événements Windows.
Remarque
Si vous utilisez Server Core, wecutil peut être utilisé pour créer et gérer des abonnements aux événements qui sont transférés à partir d’ordinateurs distants.
Configuration WEF pour les passerelles ATA avec mise en miroir de ports
Après avoir configuré la mise en miroir de ports des contrôleurs de domaine vers la passerelle ATA, utilisez les instructions suivantes pour configurer le transfert d’événements Windows à l’aide de la configuration lancée par la source. Il s’agit d’une façon de configurer le transfert d’événements Windows.
Étape 1 : Ajoutez le compte de service réseau au groupe lecteurs du journal des événements de domaine.
Dans ce scénario, supposons que la passerelle ATA est membre du domaine.
- Ouvrez Utilisateurs et ordinateurs Active Directory, accédez au dossier BuiltIn et double-cliquez sur Lecteurs du journal des événements.
- Sélectionnez Membres.
- Si le service réseau n’est pas répertorié, sélectionnez Ajouter, tapez Service réseau dans le champ Entrez les noms d’objets à sélectionner . Sélectionnez ensuite Vérifier les noms , puis sélectionnez OK deux fois.
Après avoir ajouté le service réseau au groupe Lecteurs du journal des événements , redémarrez les contrôleurs de domaine pour que la modification prenne effet.
Étape 2 : Créez une stratégie sur les contrôleurs de domaine pour définir le paramètre Configurer le Gestionnaire d’abonnements cible.
Remarque
Vous pouvez créer une stratégie de groupe pour ces paramètres et appliquer la stratégie de groupe à chaque contrôleur de domaine surveillé par la passerelle ATA. Les étapes ci-dessous modifient la stratégie locale du contrôleur de domaine.
Exécutez la commande suivante sur chaque contrôleur de domaine : winrm quickconfig
À partir d’une invite de commandes, tapez gpedit.msc.
Développez Configuration > ordinateur Modèles d’administration > Composants > Windows Transfert d’événements
Double-cliquez sur Configurer le Gestionnaire d’abonnements cible.
Sélectionnez Activé.
Sous Options, sélectionnez Afficher.
Sous SubscriptionManagers, entrez la valeur suivante et sélectionnez OK :
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(Par exemple : Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)Sélectionnez OK.
À partir d’une invite de commandes avec élévation de privilèges, tapez gpupdate /force.
Étape 3 : Effectuer les étapes suivantes sur la passerelle ATA
Ouvrez une invite de commandes avec élévation de privilèges et tapez wecutil qc
Ouvrez observateur d'événements.
Cliquez avec le bouton droit sur Abonnements , puis sélectionnez Créer un abonnement.
Entrez un nom et une description pour l’abonnement.
Pour Journal de destination, vérifiez que l’option Événements transférés est sélectionnée. Pour qu’ATA puisse lire les événements, le journal de destination doit être Des événements transférés.
Sélectionnez Ordinateur source initié, puis sélectionnez Sélectionner des ordinateurs Groupes.
- Sélectionnez Ajouter un ordinateur de domaine.
- Entrez le nom du contrôleur de domaine dans le champ Entrez le nom de l’objet à sélectionner . Sélectionnez ensuite Vérifier les noms , puis ok.
- Sélectionnez OK.
Sélectionnez Sélectionner des événements.
- Sélectionnez Par journal , puis Sécurité.
- Dans le champ ID d’événement inclut/exclu, tapez le numéro d’événement et sélectionnez OK. Par exemple, tapez 4776, comme dans l’exemple suivant.
Cliquez avec le bouton droit sur l’abonnement créé et sélectionnez État d’exécution pour voir s’il existe des problèmes avec le status.
Après quelques minutes, case activée pour voir que les événements que vous définissez pour être transférés s’affichent dans les événements transférés sur la passerelle ATA.
Pour plus d’informations, consultez : Configurer les ordinateurs pour transférer et collecter des événements