Konfigurere Windows Event Collection
Gjelder for: Advanced Threat Analytics versjon 1.9
Obs!
For ATA-versjoner 1.8 og nyere er konfigurasjon av hendelsessamling ikke lenger nødvendig for ATA Lightweight Gateways. ATA Lightweight Gateway leser nå hendelser lokalt, uten å måtte konfigurere videresending av hendelser.
For å forbedre oppdagelsesfunksjonene trenger ATA følgende Windows-hendelser: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Disse kan enten leses automatisk av ATA Lightweight Gateway, eller i tilfelle ATA Lightweight Gateway ikke distribueres, kan den videresendes til ATA Gateway på én av to måter ved å konfigurere ATA Gateway til å lytte etter SIEM-hendelser eller ved å konfigurere Windows Event Forwarding.
Obs!
Hvis du bruker Server Core, kan wecutil brukes til å opprette og administrere abonnementer på hendelser som videresendes fra eksterne datamaskiner.
WEF-konfigurasjon for ATA Gateway-er med portspeiling
Når du har konfigurert portspeiling fra domenekontrollerne til ATA Gateway, kan du bruke følgende instruksjoner til å konfigurere Windows-hendelsesoverføring ved hjelp av konfigurasjon av kildeinitiert. Dette er én måte å konfigurere videresending av Windows-hendelser på.
Trinn 1: Legg til nettverkstjenestekontoen i gruppen for hendelseslogglesere for domenet.
I dette scenarioet kan du anta at ATA Gateway er medlem av domenet.
- Åpne Active Directory-brukere og -datamaskiner, gå til BuiltIn-mappen og dobbeltklikk hendelseslogglesere.
- Velg Medlemmer.
- Hvis nettverkstjenesten ikke er oppført, velger du Legg til, skriver inn Nettverkstjeneste i feltet Skriv inn objektnavnene for å velge feltet. Velg deretter Kontroller navn , og velg OK to ganger.
Når du har lagt til nettverkstjenesten i gruppen Lesere av hendelseslogg , starter du domenekontrollerne på nytt for at endringen skal tre i kraft.
Trinn 2: Opprett en policy på domenekontrollerne for å angi innstillingen Konfigurer målabonnementsbehandling.
Obs!
Du kan opprette en gruppepolicy for disse innstillingene og bruke gruppepolicyen på hver domenekontroller som overvåkes av ATA Gateway. Trinnene nedenfor endrer den lokale policyen for domenekontrolleren.
Kjør følgende kommando på hver domenekontroller: winrm quickconfig
Skriv inn gpedit.msc fra en ledetekst.
Utvid Windows Components >> Event Forwarding for administrative maler for datamaskinkonfigurasjon >
Dobbeltklikk Konfigurer målabonnementsbehandling.
Velg Aktivert.
Velg Vis under Alternativer.
Skriv inn følgende verdi under SubscriptionManagers, og velg OK:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10(For eksempel: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)
Velg OK.
Fra en hevet ledeteksttype gpupdate /force.
Trinn 3: Utfør følgende trinn på ATA Gateway
Åpne en hevet ledetekst og skriv inn wecutil qc
Åpne Hendelsesliste.
Høyreklikk abonnementer , og velg Opprett abonnement.
Skriv inn et navn og en beskrivelse for abonnementet.
Bekreft at Videresendte hendelser er valgt for målloggen. For at ATA skal kunne lese hendelsene, må målloggen være videresendte hendelser.
Velg Kildedatamaskin som er startet, og velg deretter Velg datamaskiner Grupper.
- Velg Legg til domenedatamaskin.
- Skriv inn navnet på domenekontrolleren i feltet Skriv inn objektnavnet du vil velge . Velg deretter Kontroller navn , og velg OK.
- Velg OK.
Velg Velg hendelser.
- Velg Etter logg, og velg Sikkerhet.
- Skriv inn hendelsesnummeret i feltet Inkluderer/utelater hendelses-ID , og velg OK. Skriv for eksempel inn 4776, som i eksemplet nedenfor.
Høyreklikk på det opprettede abonnementet, og velg Runtime Status for å se om det er noen problemer med statusen.
Etter noen minutter må du kontrollere at hendelsene du angir for videresending, vises i videresendte hendelser på ATA Gateway.
Hvis du vil ha mer informasjon, kan du se: Konfigurere datamaskinene til å videresende og samle inn hendelser