Поделиться через

Настройка коллекции событий Windows

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

Примечание.

Для ATA версий 1.8 и более поздних конфигурация сбора событий больше не требуется для упрощенных шлюзов ATA. Упрощенный шлюз ATA теперь считывает события локально, без необходимости настраивать переадресацию событий.

Для расширения возможностей обнаружения ATA требуются следующие события Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Упрощенный шлюз ATA может автоматически считывать их или, если упрощенный шлюз ATA не развернут, его можно перенаправить в шлюз ATA одним из двух способов: настроив шлюз ATA прослушивание событий SIEM или настроив переадресацию событий Windows.

Примечание.

Если вы используете server Core, wecutil можно использовать для создания подписок на события, пересылаемые с удаленных компьютеров, и управления ими.

Конфигурация WEF для шлюзов ATA с зеркальным отображением портов

После настройки зеркального отображения портов из контроллеров домена в шлюз ATA используйте следующие инструкции, чтобы настроить перенаправление событий Windows с помощью конфигурации, инициируемой источником. Это один из способов настройки переадресации событий Windows.

Шаг 1. Добавьте учетную запись сетевой службы в группу читателей журнала событий домена.

В этом сценарии предполагается, что шлюз ATA является членом домена.

  1. Откройте Пользователи и компьютеры Active Directory, перейдите в папку BuiltIn и дважды щелкните средства чтения журнала событий.
  2. Выберите Участники.
  3. Если сетевая служба отсутствует в списке, выберите Добавить, введите Сетевая служба в поле Введите имена объектов для выбора . Затем нажмите кнопку Проверить имена и дважды нажмите кнопку ОК .

После добавления сетевой службы в группу читателей журнала событий перезагрузите контроллеры домена, чтобы изменения вступили в силу.

Шаг 2. Создайте политику на контроллерах домена, чтобы задать параметр Настройка целевого диспетчера подписок.

Примечание.

Вы можете создать групповую политику для этих параметров и применить групповую политику к каждому контроллеру домена, отслеживаемого шлюзом ATA. Приведенные ниже действия изменяют локальную политику контроллера домена.

  1. Выполните следующую команду на каждом контроллере домена: winrm quickconfig

  2. В командной строке введите gpedit.msc.

  3. Развернуть конфигурацию > компьютера Административные шаблоны > Компоненты > Windows Переадресация событий

    Изображение редактора локальной группы политик.

  4. Дважды щелкните Настроить целевой диспетчер подписок.

    1. Щелкните Включено.

    2. В разделе Параметры выберите Показать.

    3. В разделе SubscriptionManagers введите следующее значение и нажмите кнопку ОК: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Например, Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Настройка образа целевой подписки.

    4. Нажмите OK.

    5. В командной строке с повышенными привилегиями введите gpupdate /force.

Шаг 3. Выполнение следующих действий в шлюзе ATA

  1. Откройте командную строку с повышенными привилегиями и введите wecutil qc.

  2. Откройте Просмотр событий.

  3. Щелкните правой кнопкой мыши Подписки и выберите Создать подписку.

    1. Введите имя и описание подписки.

    2. В поле Журнал назначения убедитесь, что выбран параметр Переадресованные события . Чтобы ATA считывала события, в целевом журнале должны быть переадресованы события.

    3. Выберите Исходный компьютер, инициированный, а затем выберите Выбрать компьютеры Группы.

      1. Выберите Добавить компьютер домена.
      2. Введите имя контроллера домена в поле Введите имя объекта для выбора . Затем выберите Проверить имена и нажмите кнопку ОК.
        Просмотр событий изображение.
      3. Нажмите OK.

    4. Выберите Выбрать события.

      1. Выберите По журналу и безопасность.
      2. В поле Includes/Excludes Event ID (Включает и исключает идентификатор события ) введите номер события и нажмите кнопку ОК. Например, введите 4776, как показано в следующем примере.

      Изображение фильтра запросов.

    5. Щелкните правой кнопкой мыши созданную подписку и выберите Состояние среды выполнения , чтобы узнать, есть ли проблемы с состоянием.

    6. Через несколько минут проверка, чтобы увидеть, что события, настроенные для переадресации, отображаются в переадресации событий на шлюзе ATA.

Дополнительные сведения см. в статье Настройка компьютеров для пересылки и сбора событий.

См. также