Compartilhar via

Configurar a Coleção de Eventos do Windows

  • Artigo

Aplica-se a: Advanced Threat Analytics versão 1.9

Observação

Para as versões 1.8 e superiores do ATA, a configuração da coleção de eventos já não é necessária para os ATA Lightweight Gateways. O ATA Lightweight Gateway agora lê os eventos localmente, sem a necessidade de configurar o reencaminhamento de eventos.

Para melhorar as capacidades de deteção, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Estes podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não esteja implementado, pode ser reencaminhado para o ATA Gateway de uma de duas formas, configurando o ATA Gateway para escutar eventos SIEM ou configurando o Reencaminhamento de Eventos do Windows.

Observação

Se estiver a utilizar o Server Core, o wecutil pode ser utilizado para criar e gerir subscrições para eventos reencaminhados a partir de computadores remotos.

Configuração weF para ATA Gateway com espelhamento de porta

Depois de configurar o espelhamento de porta dos controladores de domínio para o ATA Gateway, utilize as seguintes instruções para configurar o reencaminhamento de Eventos do Windows com a configuração Iniciada pela Origem. Esta é uma forma de configurar o reencaminhamento de Eventos do Windows.

Passo 1: adicionar a conta de serviço de rede ao domínio Grupo de Leitores do Registo de Eventos.

Neste cenário, suponha que o ATA Gateway é um membro do domínio.

  1. Abra Usuários e Computadores do Active Directory, navegue para a pasta BuiltIn e faça duplo clique em Leitores do Registo de Eventos.
  2. Selecione Membros.
  3. Se o Serviço de Rede não estiver listado, selecione Adicionar, escreva Serviço de Rede no campo Introduzir os nomes dos objetos a selecionar . Em seguida, selecione Verificar Nomes e selecione OK duas vezes.

Depois de adicionar o Serviço de Rede ao grupo Leitores do Registo de Eventos , reinicie os controladores de domínio para que a alteração entre em vigor.

Passo 2: criar uma política nos controladores de domínio para definir a definição Configurar Gestor de Subscrições de destino.

Observação

Pode criar uma política de grupo para estas definições e aplicar a política de grupo a cada controlador de domínio monitorizado pelo ATA Gateway. Os passos abaixo modificam a política local do controlador de domínio.

  1. Execute o seguinte comando em cada controlador de domínio: winrm quickconfig

  2. Numa linha de comandos, escreva gpedit.msc.

  3. Expandir Configuração > do Computador Modelos Administrativos > Componentes do Windows Reencaminhamento de Eventos >

    Imagem do editor do grupo de políticas local.

  4. Faça duplo clique em Configurar Gestor de Subscrições de destino.

    1. Selecione Habilitado.

    2. Em Opções, selecione Mostrar.

    3. Em SubscriptionManagers, introduza o seguinte valor e selecione OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Por exemplo: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configurar a imagem de subscrição de destino.

    4. Selecione OK.

    5. A partir de uma linha de comandos elevada, escreva gpupdate /force.

Passo 3: executar os seguintes passos no ATA Gateway

  1. Abra uma linha de comandos elevada e escreva wecutil qc

  2. Abra Visualizador de Eventos.

  3. Clique com o botão direito do rato em Subscrições e selecione Criar Subscrição.

    1. Introduza um nome e uma descrição para a subscrição.

    2. Para o Registo de Destino, confirme que a opção Eventos Reencaminhados está selecionada. Para o ATA ler os eventos, o registo de destino tem de ser Eventos Reencaminhados.

    3. Selecione Computador de origem iniciado e, em seguida, selecione Selecionar Computadores Grupos.

      1. Selecione Adicionar Computador de Domínio.
      2. Introduza o nome do controlador de domínio no campo Introduzir o nome do objeto a selecionar . Em seguida, selecione Verificar Nomes e selecione OK.
        Visualizador de Eventos imagem.
      3. Selecione OK.

    4. Selecione Selecionar Eventos.

      1. Selecione Por registo e selecione Segurança.
      2. No campo Inclui/Exclui ID do Evento , escreva o número do evento e selecione OK. Por exemplo, escreva 4776, como no exemplo seguinte.

      Imagem do filtro de consulta.

    5. Clique com o botão direito do rato na subscrição criada e selecione Estado do Runtime para ver se existem problemas com o status.

    6. Após alguns minutos, marcar para ver que os eventos que definiu para serem reencaminhados são apresentados nos Eventos Reencaminhados no ATA Gateway.

Para obter mais informações, veja: Configurar os computadores para reencaminhar e recolher eventos

Confira também