Condividi tramite

Configurazione della raccolta di eventi di Windows

  • Articolo

Si applica a: Advanced Threat Analytics versione 1.9

Nota

Per le versioni 1.8 e successive di ATA, la configurazione della raccolta di eventi non è più necessaria per i gateway ATA Lightweight. Il gateway ATA Lightweight ora legge gli eventi in locale, senza la necessità di configurare l'inoltro degli eventi.

Per migliorare le funzionalità di rilevamento, ATA necessita dei seguenti eventi di Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Questi possono essere letti automaticamente dal gateway ATA Lightweight oppure nel caso in cui il gateway ATA Lightweight non venga distribuito, possono essere inoltrati al gateway ATA in uno dei due modi seguenti, configurando il gateway ATA per l'ascolto degli eventi SIEM o configurando l'inoltro degli eventi di Windows.

Nota

Se si usa Server Core, wecutil può essere usato per creare e gestire sottoscrizioni a eventi inoltrati da computer remoti.

Configurazione WEF per il gateway ATA con mirroring delle porte

Dopo aver configurato il mirroring delle porte dai controller di dominio al gateway ATA, usare le istruzioni seguenti per configurare l'inoltro di eventi di Windows usando la configurazione avviata dall'origine. Questo è un modo per configurare l'inoltro degli eventi di Windows.

Passaggio 1: Aggiungere l'account del servizio di rete al gruppo di lettori del registro eventi di dominio.

In questo scenario, si supponga che il gateway ATA sia un membro del dominio.

  1. Aprire Utenti e computer di Active Directory, passare alla cartella BuiltIn e fare doppio clic su Lettori di log eventi.
  2. Selezionare Membri.
  3. Se Servizio di rete non è elencato, selezionare Aggiungi, digitare Servizio di rete nel campo Immettere i nomi degli oggetti da selezionare . Selezionare quindi Controlla nomi e selezionare OK due volte.

Dopo aver aggiunto il servizio di rete al gruppo Lettori log eventi , riavviare i controller di dominio per rendere effettiva la modifica.

Passaggio 2: Creare un criterio nei controller di dominio per impostare l'impostazione Configura Gestione sottoscrizioni di destinazione.

Nota

È possibile creare criteri di gruppo per queste impostazioni e applicare i criteri di gruppo a ogni controller di dominio monitorato dal gateway ATA. I passaggi seguenti modificano i criteri locali del controller di dominio.

  1. Eseguire il comando seguente in ogni controller di dominio: winrm quickconfig

  2. Da un prompt dei comandi digitare gpedit.msc.

  3. Espandere Configurazione > computer Modelli amministrativi Componenti >> di Windows Inoltro eventi

    Immagine dell'editor dei gruppi di criteri locali.

  4. Fare doppio clic su Configura Gestione sottoscrizioni di destinazione.

    1. Selezionare Abilitato.

    2. In Opzioni selezionare Mostra.

    3. In SubscriptionManagers immettere il valore seguente e selezionare OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Ad esempio: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configurare l'immagine della sottoscrizione di destinazione.

    4. Selezionare OK.

    5. Da un prompt dei comandi con privilegi elevati digitare gpupdate /force.

Passaggio 3: Seguire questa procedura nel gateway ATA

  1. Aprire un prompt dei comandi con privilegi elevati e digitare wecutil qc

  2. Aprire Visualizzatore eventi.

  3. Fare clic con il pulsante destro del mouse su Sottoscrizioni e scegliere Crea sottoscrizione.

    1. Immettere un nome e una descrizione per la sottoscrizione.

    2. Per Log di destinazione verificare che sia selezionata l'opzione Eventi inoltrati . Affinché ATA legga gli eventi, il log di destinazione deve essere Eventi inoltrati.

    3. Selezionare Computer di origine avviato e quindi selezionare Seleziona computer Gruppi.

      1. Selezionare Aggiungi computer di dominio.
      2. Immettere il nome del controller di dominio nel campo Immettere il nome dell'oggetto da selezionare . Selezionare quindi Controlla nomi e selezionare OK.
        Visualizzatore eventi immagine.
      3. Selezionare OK.

    4. Selezionare Seleziona eventi.

      1. Selezionare By log (Per log) e selezionare Security (Sicurezza).
      2. Nel campo Include/Escludi ID evento digitare il numero di evento e selezionare OK. Ad esempio, digitare 4776, come nell'esempio seguente.

      Immagine del filtro di query.

    5. Fare clic con il pulsante destro del mouse sulla sottoscrizione creata e selezionare Stato runtime per verificare se si sono verificati problemi con lo stato.

    6. Dopo alcuni minuti, verificare che gli eventi impostati per l'inoltro vengano visualizzati negli eventi inoltrati nel gateway ATA.

Per altre informazioni, vedere: Configurare i computer per inoltrare e raccogliere eventi

Vedere anche