Delen via

Windows-gebeurtenisverzameling configureren

  • Artikel

Van toepassing op: Advanced Threat Analytics versie 1.9

Opmerking

Voor ATA-versies 1.8 en hoger is configuratie van gebeurtenisverzameling niet meer nodig voor ATA Lightweight-gateways. De ATA Lightweight-gateway leest nu gebeurtenissen lokaal, zonder dat het doorsturen van gebeurtenissen hoeft te worden geconfigureerd.

Om de detectiemogelijkheden te verbeteren, heeft ATA de volgende Windows-gebeurtenissen nodig: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Deze kunnen automatisch worden gelezen door de ATA Lightweight-gateway of als de ATA Lightweight-gateway niet wordt geïmplementeerd, kan deze op twee manieren worden doorgestuurd naar de ATA-gateway, door de ATA Gateway te configureren om te luisteren naar SIEM-gebeurtenissen of door Windows Event Forwarding te configureren.

Opmerking

Als u Server Core gebruikt, kan wecutil worden gebruikt voor het maken en beheren van abonnementen op gebeurtenissen die worden doorgestuurd vanaf externe computers.

WEF-configuratie voor ATA Gateway's met poortspiegeling

Nadat u poortspiegeling van de domeincontrollers naar de ATA Gateway hebt geconfigureerd, gebruikt u de volgende instructies om Windows-gebeurtenis doorsturen te configureren met behulp van de door bron geïnitieerde configuratie. Dit is een manier om Doorsturen van Windows-gebeurtenissen te configureren.

Stap 1: Voeg het netwerkserviceaccount toe aan de groep Lezers van gebeurtenislogboeken van het domein.

In dit scenario wordt ervan uitgegaan dat de ATA-gateway lid is van het domein.

  1. Open Active Directory: gebruikers en computers, navigeer naar de map BuiltIn en dubbelklik op Lezers van gebeurtenislogboek.
  2. Selecteer Leden.
  3. Als Netwerkservice niet wordt vermeld, selecteert u Toevoegen, typt u Netwerkservice in het veld De objectnamen invoeren om te selecteren . Selecteer vervolgens Namen controleren en selecteer tweemaal OK .

Nadat u de netwerkservice hebt toegevoegd aan de groep Lezers van gebeurtenislogboeken , start u de domeincontrollers opnieuw op om de wijziging van kracht te laten worden.

Stap 2: maak een beleid op de domeincontrollers om de instelling Abonnementsbeheer configureren in te stellen.

Opmerking

U kunt een groepsbeleid voor deze instellingen maken en het groepsbeleid toepassen op elke domeincontroller die wordt bewaakt door de ATA-gateway. Met de onderstaande stappen wordt het lokale beleid van de domeincontroller gewijzigd.

  1. Voer de volgende opdracht uit op elke domeincontroller: winrm quickconfig

  2. Typ vanuit een opdrachtprompt gpedit.msc.

  3. Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Gebeurtenis doorsturen uitvouwen

    Afbeelding van de editor van de lokale beleidsgroep.

  4. Dubbelklik op Doelabonnementsbeheer configureren.

    1. Selecteer Ingeschakeld.

    2. Selecteer onder Optiesde optie Weergeven.

    3. Voer onder SubscriptionManagers de volgende waarde in en selecteer OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Bijvoorbeeld: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Installatiekopieën van het doelabonnement configureren.

    4. Selecteer OK.

    5. Typ vanuit een opdrachtprompt met verhoogde bevoegdheid gpupdate /force.

Stap 3: Voer de volgende stappen uit op de ATA-gateway

  1. Open een opdrachtprompt met verhoogde bevoegdheid en typ wecutil qc

  2. Open Logboeken.

  3. Klik met de rechtermuisknop op Abonnementen en selecteer Abonnement maken.

    1. Voer een naam en beschrijving in voor het abonnement.

    2. Controleer bij Doellogboek of Doorgestuurde gebeurtenissen is geselecteerd. Ata kan de gebeurtenissen alleen lezen als het doellogboek Doorgestuurde gebeurtenissen is.

    3. Selecteer Broncomputer geïnitieerd en kies vervolgens Computers selecteren Groepen.

      1. Selecteer Domeincomputer toevoegen.
      2. Voer de naam van de domeincontroller in het veld Voer de objectnaam in om te selecteren . Selecteer vervolgens Namen controleren en selecteer OK.
        Logboeken afbeelding.
      3. Selecteer OK.

    4. Selecteer Gebeurtenissen selecteren.

      1. Selecteer Op logboek en selecteer Beveiliging.
      2. Typ in het veld Gebeurtenis-id opnemen/uitsluiten het gebeurtenisnummer en selecteer OK. Typ bijvoorbeeld 4776, zoals in het volgende voorbeeld.

      Afbeelding van queryfilter.

    5. Klik met de rechtermuisknop op het gemaakte abonnement en selecteer Runtimestatus om te zien of er problemen zijn met de status.

    6. Controleer na een paar minuten of de gebeurtenissen die u hebt ingesteld om te worden doorgestuurd, worden weergegeven in doorgestuurde gebeurtenissen op de ATA-gateway.

Zie Voor meer informatie: De computers configureren voor het doorsturen en verzamelen van gebeurtenissen

Zie ook