配置 Windows 事件集合

适用于：高级威胁分析版本 1.9

注意

对于 ATA 1.8 及更高版本，ATA 轻型网关不再需要事件收集配置。 ATA 轻型网关现在在本地读取事件，而无需配置事件转发。

为了增强检测功能，ATA 需要以下 Windows 事件：4776、4732、4733、4728、4729、4756、4757、7045。 ATA 轻型网关可以自动读取这些内容，或者在未部署 ATA 轻型网关的情况下，可以通过以下两种方式之一将其转发到 ATA 网关：将 ATA 网关配置为侦听 SIEM 事件或配置 Windows 事件转发。

注意

如果使用 Server Core，可以使用 wecutil 创建和管理从远程计算机转发的事件的订阅。

具有端口镜像的 ATA 网关的 WEF 配置

配置从域控制器到 ATA 网关的端口镜像后，使用以下说明使用源启动的配置配置 Windows 事件转发。 这是配置 Windows 事件转发的一种方法。

步骤 1：将网络服务帐户添加到域事件日志读取器组。

在此方案中，假定 ATA 网关是域的成员。

1. 打开Active Directory 用户和计算机，导航到“BuiltIn”文件夹，然后双击“事件日志读取器”。
2. 选择“成员”。
3. 如果未列出网络服务，请选择“添加”，在“输入要选择的对象名称”字段中键入“网络服务”。 然后选择“ 检查名称 ”，然后选择 “确定” 两次。

将 网络服务 添加到 事件日志读取器 组后，重新启动域控制器，使更改生效。

步骤 2：在域控制器上创建策略以设置“配置目标订阅管理器”设置。

注意

可以为这些设置创建组策略，并将组策略应用于 ATA 网关监视的每个域控制器。 以下步骤修改域控制器的本地策略。

1. 在每个域控制器上运行以下命令： winrm quickconfig

2. 在命令提示符中键入 gpedit.msc。

3. 展开 计算机配置 > 管理模板 > Windows 组件 > 事件转发

   

4. 双击“ 配置目标订阅管理器”。

   1. 选择“已启用”。

   2. 在 “选项”下，选择“ 显示”。

   3. 在 “SubscriptionManagers”下，输入以下值，然后选择“ 确定”： Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例如：Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      

   4. 选择“确定”。

   5. 从提升的命令提示符键入 gpupdate /force。

步骤 3：在 ATA 网关上执行以下步骤

1. 打开提升的命令提示符并键入 wecutil qc

2. 打开事件查看器。

3. 右键单击“ 订阅 ”，然后选择“ 创建订阅”。

   1. 输入订阅的名称和说明。

   2. 对于 “目标日志”，确认已选择“ 转发事件 ”。 若要使 ATA 读取事件，目标日志必须为 “转发事件”。

   3. 选择“启动的源计算机”，然后选择“选择计算机组”。

      1. 选择 “添加域计算机”。
      2. 在“ 输入要选择的对象名称 ”字段中输入域控制器的名称。 然后选择“ 检查名称 ”，然后选择“ 确定”。
         
      3. 选择“确定”。

   4. 选择 “选择事件”。

      1. 选择“ 按日志 ”，然后选择“ 安全性”。
      2. 在 “包括/排除事件 ID ”字段中，键入事件编号并选择“ 确定”。 例如，键入 4776，如以下示例所示。

      

   5. 右键单击创建的订阅，然后选择“ 运行时状态 ”以查看状态是否存在任何问题。

   6. 几分钟后，检查查看设置为转发的事件显示在 ATA 网关上的“转发事件”中。

有关详细信息，请参阅： 将计算机配置为转发和收集事件

另请参阅

• 安装 ATA
• 查看 ATA 论坛！