Udostępnij za pośrednictwem

Konfigurowanie kolekcji zdarzeń systemu Windows

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

Uwaga

W przypadku usługi ATA w wersji 1.8 lub nowszej konfiguracja zbierania zdarzeń nie jest już konieczna dla uproszczonych bram usługi ATA. Uproszczona brama usługi ATA odczytuje teraz zdarzenia lokalnie bez konieczności konfigurowania przekazywania zdarzeń.

Aby zwiększyć możliwości wykrywania, usługa ATA potrzebuje następujących zdarzeń systemu Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Mogą one być odczytywane automatycznie przez uproszczoną bramę usługi ATA lub w przypadku, gdy brama ATA Lightweight Gateway nie została wdrożona, można ją przekazać do bramy usługi ATA na jeden z dwóch sposobów, konfigurując bramę usługi ATA do nasłuchiwania zdarzeń SIEM lub konfigurując przekazywanie zdarzeń systemu Windows.

Uwaga

Jeśli używasz serwera Server Core, narzędzie wecutil może służyć do tworzenia subskrypcji zdarzeń przesyłanych dalej z komputerów zdalnych i zarządzania nimi.

Konfiguracja wef bramy usługi ATA z dublowaniem portów

Po skonfigurowaniu dublowania portów z kontrolerów domeny do bramy usługi ATA użyj poniższych instrukcji, aby skonfigurować przekazywanie zdarzeń systemu Windows przy użyciu konfiguracji zainicjowanej przez źródło. Jest to jeden ze sposobów konfigurowania przekazywania zdarzeń systemu Windows.

Krok 1. Dodaj konto usługi sieciowej do grupy czytelników dziennika zdarzeń domeny.

W tym scenariuszu załóżmy, że brama usługi ATA jest członkiem domeny.

  1. Otwórz Użytkownicy i komputery usługi Active Directory, przejdź do folderu BuiltIn i kliknij dwukrotnie pozycję Czytniki dziennika zdarzeń.
  2. Wybierz pozycję Członkowie.
  3. Jeśli usługa sieciowa nie znajduje się na liście, wybierz pozycję Dodaj, wpisz Network Service w polu Wprowadź nazwy obiektów do wybrania . Następnie wybierz pozycję Sprawdź nazwy i dwukrotnie wybierz przycisk OK .

Po dodaniu usługi sieciowej do grupy Czytniki dziennika zdarzeń uruchom ponownie kontrolery domeny, aby zmiany zaczęły obowiązywać.

Krok 2. Utwórz zasady na kontrolerach domeny, aby ustawić ustawienie Konfigurowanie docelowego menedżera subskrypcji.

Uwaga

Możesz utworzyć zasady grupy dla tych ustawień i zastosować zasady grupy do każdego kontrolera domeny monitorowanego przez bramę usługi ATA. Poniższe kroki modyfikują zasady lokalne kontrolera domeny.

  1. Uruchom następujące polecenie na każdym kontrolerze domeny: winrm quickconfig

  2. W wierszu polecenia wpisz gpedit.msc.

  3. Rozwiń węzeł Konfiguracja > komputera Szablony administracyjne Przekazywanie zdarzeń składników >> systemu Windows

    Obraz edytora lokalnych grup zasad.

  4. Kliknij dwukrotnie pozycję Konfiguruj docelowego Menedżera subskrypcji.

    1. Wybierz pozycję Włączone.

    2. W obszarze Opcje wybierz pozycję Pokaż.

    3. W obszarze SubscriptionManagers wprowadź następującą wartość i wybierz przycisk OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Na przykład: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Skonfiguruj obraz subskrypcji docelowej.

    4. Wybierz przycisk OK.

    5. Z wiersza polecenia z podwyższonym poziomem uprawnień wpisz gpupdate /force.

Krok 3. Wykonanie następujących kroków w bramie usługi ATA

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz wecutil qc

  2. Otwórz Podgląd zdarzeń.

  3. Kliknij prawym przyciskiem myszy pozycję Subskrypcje i wybierz pozycję Utwórz subskrypcję.

    1. Wprowadź nazwę i opis subskrypcji.

    2. W obszarze Dziennik docelowy upewnij się, że wybrano opcję Zdarzenia przekazane dalej. Aby usługa ATA odczytywała zdarzenia, dziennik docelowy musi mieć wartość Zdarzenia przekazywane dalej.

    3. Wybierz pozycję Komputer źródłowy zainicjowany, a następnie wybierz pozycję Wybierz komputery Grupy.

      1. Wybierz pozycję Dodaj komputer domeny.
      2. Wprowadź nazwę kontrolera domeny w polu Wprowadź nazwę obiektu do wybrania . Następnie wybierz pozycję Sprawdź nazwy i wybierz przycisk OK.
        Podgląd zdarzeń obraz.
      3. Wybierz przycisk OK.

    4. Wybierz pozycję Wybierz zdarzenia.

      1. Wybierz pozycję Według dziennika i wybierz pozycję Zabezpieczenia.
      2. W polu Obejmuje/wyklucza identyfikator zdarzenia wpisz numer zdarzenia i wybierz przycisk OK. Na przykład wpisz 4776, podobnie jak w poniższym przykładzie.

      Obraz filtru zapytania.

    5. Kliknij prawym przyciskiem myszy utworzoną subskrypcję i wybierz pozycję Stan środowiska uruchomieniowego , aby sprawdzić, czy występują problemy ze stanem.

    6. Po kilku minutach sprawdź, czy zdarzenia, które mają zostać przekazane, są wyświetlane w zdarzeniach przekazanych w bramie usługi ATA.

Aby uzyskać więcej informacji, zobacz Konfigurowanie komputerów do przesyłania dalej i zbierania zdarzeń

Zobacz też