Windows イベント コレクションを構成する
適用対象: Advanced Threat Analytics Version 1.9
Note
ATA バージョン 1.8 以降の場合、ATA Lightweight Gateway では、イベント収集構成は不要になりました。 ATA Lightweight Gateway では、イベント転送を構成しなくても、イベントをローカルで読み取ることができるようになりました。
検出機能を強化するために、ATA には 4776、4732、4733、4728、4729、4756、4757、7045 の Windows イベントが必要です。 これらは、ATA Lightweight Gateway が自動で読み込むか、ATA Lightweight Gateway がデプロイされていない場合は、SIEM イベントをリッスンするように ATA ゲートウェイを構成するか、Windows イベント転送を構成するかのいずれかの方法でATA ゲートウェイに転送できます。
Note
Server Core を使用している場合は、wecutil を使用して、リモート コンピューターから転送されるイベントのサブスクリプションを作成および管理できます。
ポート ミラーリングを使用した ATA ゲートウェイの WEF 構成
ドメイン コントローラーから ATA ゲートウェイへのポート ミラーリングを構成した後、次の手順に従って、ソース開始構成を使用して Windows イベント転送を構成します。 これは、Windows イベント転送を構成する 1 つの方法です。
手順 1: ネットワーク サービス アカウントをドメイン イベント ログ リーダー グループに追加します。
このシナリオでは、ATA ゲートウェイがドメインのメンバーであると仮定します。
- Active Directory ユーザーとコンピューター開き、BuiltIn フォルダーに移動し、[イベント ログ リーダー] をダブルクリックします。
- [メンバー] を選択します。
- [ネットワーク サービス] が一覧にない場合は、[追加] を選択し、[オブジェクト名を入力して選択する] フィールドに Network Service と入力します。 [名前の確認] を選択し、[OK] を 2 回選択します。
[イベント ログ リーダー] グループに [ネットワーク サービス] を追加したら、ドメイン コントローラーをリブートして、変更を有効にします。
手順 2: ドメイン コントローラーにポリシーを作成し、[ターゲット サブスクリプション マネージャーの構成] 設定を設定します。
Note
これらの設定のグループ ポリシーを作成し、ATA ゲートウェイによって監視される各ドメイン コントローラーにグループ ポリシーを適用します。 次の手順では、ドメイン コントローラーのローカル ポリシーを変更します。
ドメイン コントローラーごとに、winrm quickconfig のコマンドを実行します
コマンド プロンプトで、gpedit.msc と入力します。
[コンピューターの構成] > [管理用テンプレート] > [Windowsコンポーネント] > [イベント転送] の順に展開します
[ターゲット サブスクリプション マネージャー] をダブルクリックします。
[有効] を選択します。
[オプション] で、[表示] を選択します。
[SubscriptionManagers] で、次の値を入力したら、[OK] をクリックします。
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(例: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)[OK] を選択します。
管理者権限のコマンド プロンプトで、gpupdate /force と入力します。
手順 3: ATA ゲートウェイで次の手順を実行します
管理者権限のコマンド プロンプトを開き、wecutil qc を入力します。
イベント ビューアーを開きます。
[サブスクリプション] を右クリックして、[サブスクリプションを作成] を選択します。
サブスクリプションの名前と説明を入力します。
[宛先ログ] で、[転送済みイベント] が選択されているかを確認します。 ATA がイベントを読み取る場合、宛先ログは、[転送済みイベント] である必要があります。
[開始されたソース コンピューター] を選択して、[コンピューター グループを選択] を選択します。
- [ドメイン コンピューターを追加] を選択します。
- [オブジェクト名を入力して選択] フローにドメイン コントローラーの名前を入力します。 [名前を確認]>[OK] の順に選択します。
- [OK] を選択します。
[イベントを選択] を選択します。
- [ログ別] > [セキュリティ] の順に選択します。
- [イベント ID を含める/除外する] フィールドに、イベント番号を入力して、[OK] を選択します。 たとえば、次の例のように「4776」と入力します。
作成したサブスクリプションを右クリックし、[ランタイムの状態] を選択して、状態に問題があるかどうかを確認します。
数分後にチェック、転送するように設定したイベントが ATA ゲートウェイの転送イベントに表示されているかを確認します。
詳細については、「イベントを転送および収集するようにコンピューターを構成する」を参照してください