다음을 통해 공유

Windows 이벤트 컬렉션 구성

  • 아티클

적용 대상: Advanced Threat Analytics 버전 1.9

참고

ATA 버전 1.8 이상에서는 ATA 경량 게이트웨이에 이벤트 컬렉션 구성이 더 이상 필요하지 않습니다. 이제 ATA 경량 게이트웨이는 이벤트 전달을 구성할 필요 없이 이벤트를 로컬로 읽습니다.

검색 기능을 향상시키기 위해 ATA에는 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045 Windows 이벤트가 필요합니다. ATA 경량 게이트웨이에서 자동으로 읽거나 ATA 경량 게이트웨이가 배포되지 않은 경우 SIEM 이벤트를 수신하도록 ATA 게이트웨이를 구성하거나 Windows 이벤트 전달을 구성하여 두 가지 방법 중 하나로 ATA 게이트웨이로 전달할 수 있습니다.

참고

Server Core를 사용하는 경우 wecutil 을 사용하여 원격 컴퓨터에서 전달되는 이벤트에 대한 구독을 만들고 관리할 수 있습니다.

포트 미러링을 사용하여 ATA 게이트웨이에 대한 WEF 구성

도메인 컨트롤러에서 ATA 게이트웨이로 포트 미러링을 구성한 후 다음 지침을 사용하여 원본 시작 구성을 사용하여 Windows 이벤트 전달을 구성합니다. 이는 Windows 이벤트 전달을 구성하는 한 가지 방법입니다.

1단계: 도메인 이벤트 로그 판독기 그룹에 네트워크 서비스 계정을 추가합니다.

이 시나리오에서는 ATA 게이트웨이가 도메인의 멤버라고 가정합니다.

  1. Active Directory 사용자 및 컴퓨터 열고 BuiltIn 폴더로 이동하고 이벤트 로그 판독기를 두 번 클릭합니다.
  2. 구성원을 선택합니다.
  3. 네트워크 서비스가 나열되지 않은 경우 추가를 선택하고, 선택할 개체 이름 입력 필드에 네트워크 서비스를 입력합니다. 그런 다음 이름 확인을 선택하고 확인을 두 번 선택합니다.

네트워크 서비스를이벤트 로그 판독기 그룹에 추가한 후 변경 내용이 적용되도록 도메인 컨트롤러를 다시 부팅합니다.

2단계: 도메인 컨트롤러에 대한 정책을 만들어 대상 구독 관리자 구성 설정을 설정합니다.

참고

이러한 설정에 대한 그룹 정책을 만들고 ATA 게이트웨이에서 모니터링하는 각 도메인 컨트롤러에 그룹 정책을 적용할 수 있습니다. 아래 단계에서는 도메인 컨트롤러의 로컬 정책을 수정합니다.

  1. 각 도메인 컨트롤러에서 다음 명령을 실행합니다. winrm quickconfig

  2. 명령 프롬프트에서 gpedit.msc를 입력합니다.

  3. 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 이벤트 전달 확장

    로컬 정책 그룹 편집기 이미지.

  4. 대상 구독 관리자 구성을 두 번 클릭합니다.

    1. 사용하도록 설정을 선택합니다.

    2. 옵션에서 표시를 선택합니다.

    3. SubscriptionManagers에서 다음 값을 입력하고 확인을 선택합니다.Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (예: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      대상 구독 이미지를 구성합니다.

    4. 확인을 선택합니다.

    5. 관리자 권한 명령 프롬프트에서 gpupdate /force를 입력합니다.

3단계: ATA 게이트웨이에서 다음 단계 수행

  1. 관리자 권한 명령 프롬프트를 열고 wecutil qc를 입력합니다.

  2. 이벤트 뷰어 엽니다.

  3. 구독을 마우스 오른쪽 단추 클릭하고 구독 만들기를 선택합니다.

    1. 구독의 이름과 설명을 입력합니다.

    2. 대상 로그의 경우 전달된 이벤트가 선택되어 있는지 확인합니다. ATA에서 이벤트를 읽으려면 대상 로그가 전달된 이벤트여야 합니다.

    3. 원본 컴퓨터 시작을 선택한 다음 컴퓨터 그룹 선택을 선택합니다.

      1. 도메인 컴퓨터 추가를 선택합니다.
      2. 선택할 개체 이름 입력 필드에 도메인 컨트롤러 의 이름을 입력 합니다. 그런 다음 이름 확인을 선택하고 확인을 선택합니다.
        이벤트 뷰어 이미지.
      3. 확인을 선택합니다.

    4. 이벤트 선택을 선택합니다.

      1. 로그별을 선택하고 보안을 선택합니다.
      2. 이벤트 ID 포함/제외 필드에 이벤트 번호를 입력하고 확인을 선택합니다. 예를 들어 다음 샘플과 같이 4776을 입력합니다.

      쿼리 필터 이미지.

    5. 만든 구독을 마우스 오른쪽 단추로 클릭하고 런타임 상태를 선택하여 상태 문제가 있는지 확인합니다.

    6. 몇 분 후에 전달되도록 설정한 이벤트가 ATA 게이트웨이의 전달된 이벤트에 표시되는지 확인하기 위해 검사.

자세한 내용은 다음을 참조하세요. 이벤트를 전달하고 수집하도록 컴퓨터 구성

참고 항목