次の方法で共有

Windows イベント コレクションの構成

  • [アーティクル]

適用対象: Advanced Threat Analytics バージョン 1.9

注:

ATA バージョン 1.8 以降では、ATA Lightweight Gateways でイベント収集の構成が不要になりました。 ATA ライトウェイト ゲートウェイは、イベント転送を構成する必要なく、イベントをローカルで読み取るようになりました。

検出機能を強化するために、ATA には、4776、4732、4733、4728、4729、4756、4757、7045 の Windows イベントが必要です。 これらは、ATA ライトウェイト ゲートウェイによって自動的に読み取られるか、ATA ライトウェイト ゲートウェイがデプロイされていない場合は、SIEM イベントをリッスンするように ATA ゲートウェイを構成するか、Windows イベント転送を構成することで、2 つの方法のいずれかで ATA ゲートウェイに転送できます。

注:

Server Core を使用している場合は、 wecutil を使用して、リモート コンピューターから転送されるイベントへのサブスクリプションを作成および管理できます。

ポート ミラーリングを使用した ATA ゲートウェイの WEF 構成

ドメイン コントローラーから ATA ゲートウェイへのポート ミラーリングを構成した後、次の手順に従って、ソースによって開始された構成を使用して Windows イベント転送を構成します。 これは、Windows イベント転送を構成する 1 つの方法です。

手順 1: ネットワーク サービス アカウントをドメインイベント ログ リーダー グループに追加します。

このシナリオでは、ATA ゲートウェイがドメインのメンバーであると仮定します。

  1. Active Directory ユーザーとコンピューター開き、BuiltIn フォルダーに移動し、[イベント ログ リーダー] をダブルクリックします。
  2. [メンバー]を選択します。
  3. Network Service が一覧にない場合は、[追加] を選択し、[選択するオブジェクト名を入力します] フィールドに「Network Service」と入力します。 次に、[ 名前の確認 ] を選択し、[ OK] を 2 回選択します。

ネットワーク サービスイベント ログ リーダー グループに追加した後、変更を有効にするためにドメイン コントローラーを再起動します。

手順 2: ドメイン コントローラーにポリシーを作成して、[ターゲット サブスクリプション マネージャーの構成] 設定を設定します。

注:

これらの設定のグループ ポリシーを作成し、ATA ゲートウェイによって監視される各ドメイン コントローラーにグループ ポリシーを適用できます。 次の手順では、ドメイン コントローラーのローカル ポリシーを変更します。

  1. 各ドメイン コントローラーで次のコマンドを実行します。 winrm quickconfig

  2. コマンド プロンプトから 「gpedit.msc」と入力します。

  3. [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [イベント転送] を展開します

    ローカル ポリシー グループ エディターのイメージ。

  4. [ ターゲット サブスクリプション マネージャーの構成] をダブルクリックします。

    1. [有効] を選択します。

    2. [ オプション] で、[表示] を選択 します

    3. [ SubscriptionManagers] で、次の値を入力し、[ OK] を選択しますServer=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      ターゲット サブスクリプション イメージを構成します。

    4. [OK] を選択します。

    5. 管理者特権のコマンド プロンプトから 、「gpupdate /force」と入力します。

手順 3: ATA ゲートウェイで次の手順を実行する

  1. 管理者特権のコマンド プロンプトを開き、「wecutil qc」と入力します

  2. イベント ビューアー を開きます。

  3. [サブスクリプション] を右クリックし、[ サブスクリプションの 作成] を選択 します

    1. サブスクリプションの名前と説明を入力します。

    2. [ 宛先ログ] で、[ 転送されたイベント ] が選択されていることを確認します。 ATA がイベントを読み取る場合、宛先ログは 転送イベントである必要があります。

    3. [開始されたソース コンピューター] を選択し、[コンピューターの選択] グループを選択します。

      1. [ ドメイン コンピューターの追加] を選択します
      2. [Enter the object name to select]\( 選択するオブジェクト名を入力 する\) フィールドにドメイン コントローラーの名前を入力します。 次に、[ 名前の確認 ] を選択し、[ OK] を選択します
        イベント ビューアーイメージ。
      3. [OK] を選択します。

    4. [ イベントの選択] を選択します

      1. [ ログ別 ] を選択し、[セキュリティ] を選択 します
      2. [ イベント ID を含める/除外 する] フィールドにイベント番号を入力し、[ OK] を選択します。 たとえば、次の例のように「4776」と入力します。

      クエリ フィルター イメージ。

    5. 作成したサブスクリプションを右クリックし、[ ランタイムの状態 ] を選択して、状態に問題があるかどうかを確認します。

    6. 数分後に、転送するように設定したイベントが ATA ゲートウェイの転送イベントに表示されていることを確認チェック。

詳細については、「イベントを転送および収集するようにコンピューターを構成する」を参照してください。

関連項目