設定 Windows 事件集合

適用於：Advanced Threat Analytics 1.9 版

注意事項

針對 ATA 1.8 版和更新版本，ATA 輕量型閘道不再需要事件集合組態。 ATA 輕量型閘道現在會在本機讀取事件，而不需要設定事件轉送。

為了增強偵測功能，ATA 需要下列 Windows 事件：4776、4732、4733、4728、4729、4756、4757、7045。 ATA 輕量型閘道可以自動讀取這些專案，或者如果 ATA 輕量型閘道未部署，可以透過兩種方式之一轉送至 ATA 閘道，方法是設定 ATA 閘道接聽 SIEM 事件或設定 Windows 事件轉送。

注意事項

如果您使用 Server Core，則可以使用 wecutil 來建立和管理從遠端電腦轉送之事件的訂用帳戶。

ATA 閘道的 WEF 組態與埠鏡像

設定從域控制器到 ATA 閘道的埠鏡像之後，請使用下列指示，使用來源起始組態來設定 Windows 事件轉送。 這是設定 Windows 事件轉送的一種方式。

步驟 1：將網路服務帳戶新增至網域事件記錄讀取器群組。

在此案例中，假設 ATA 閘道是網域的成員。

1. 開啟 Active Directory 使用者和電腦，流覽至 BuiltIn 資料夾，然後按兩下 [事件記錄檔讀取器]。
2. 選取 [成員]。
3. 如果未列出 [網络服務]，請選取 [新增]，在 [輸入要選取的物件名稱] 字段中輸入網络服務。 然後選 取 [檢查名稱] ，然後選取 [確定] 兩次。

將 網路服務 新增至 事件記錄讀 取器群組之後，請重新啟動域控制器，變更才會生效。

步驟 2：在域控制器上建立原則，以設定 [設定目標訂用帳戶管理員] 設定。

注意事項

您可以為這些設定建立組策略，並將組策略套用至 ATA 閘道所監視的每個域控制器。 下列步驟會修改域控制器的本機原則。

1. 在每個域控制器上執行下列命令： winrm quickconfig

2. 從命令提示字元輸入 gpedit.msc。

3. 展開 [計算機設定 > ] [系統管理 > 範本] [Windows 元件 > ] 事件轉送

   

4. 按兩下 [設定目標訂用帳戶管理員]。

   1. 選取 已啟用。

   2. 在 [ 選項] 底下，選取 [顯示]。

   3. 在 [SubscriptionManagers] 下，輸入下列值，然後選取 [ 確定]： Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例如：Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      

   4. 選取 [確定]。

   5. 從提升許可權的命令提示字元中，輸入 gpupdate /force。

步驟 3：在 ATA 閘道上執行下列步驟

1. 開啟提升許可權的命令提示字元，然後輸入 wecutil qc

2. 開啟 事件檢視器。

3. 以滑鼠右鍵按兩下 [ 訂用帳戶] ，然後選取 [ 建立訂用帳戶]。

   1. 輸入訂用帳戶的名稱和描述。

   2. 針對 [目的地記錄檔]，確認已選取 [轉送的事件 ]。 若要讓 ATA 讀取事件，目的地記錄檔必須是 Forwarded Events。

   3. 選取 [來源計算機起始]，然後選擇 [選取計算機 群組]。

      1. 選 取 [新增網域計算機]。
      2. 在 [ 輸入要選取的物件名稱 ] 字段中輸入域控制器的名稱。 然後選 取 [檢查名稱] ，然後選取 [ 確定]。
         
      3. 選取 [確定]。

   4. 選 取 [選取事件]。

      1. 選 取 [依記錄] ，然後選取 [ 安全性]。
      2. 在 [ 包含/排除事件標識符 ] 字段中輸入事件編號，然後選取 [ 確定]。 例如，輸入 4776，如下列範例所示。

      

   5. 以滑鼠右鍵按兩下建立的訂用帳戶，然後選取 [ 運行時間狀態 ]，以查看狀態是否有任何問題。

   6. 幾分鐘后，請檢查您設定要轉寄的事件是否顯示在 ATA 閘道上的轉送事件中。

如需詳細資訊，請參閱： 設定計算機以轉送和收集事件

另請參閱

• 安裝 ATA
• 請參閱 ATA 論壇！