Konfigurace kolekce událostí systému Windows

Platí pro: Advanced Threat Analytics verze 1.9

Poznámka:

Pro ATA verze 1.8 a vyšší už není konfigurace shromažďování událostí pro ATA Lightweight Gateway nutná. ATA Lightweight Gateway teď čte události místně, aniž by bylo nutné konfigurovat předávání událostí.

K vylepšení možností detekce potřebuje ATA následující události Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. AtA Lightweight Gateway je může číst automaticky nebo v případě, že ATA Lightweight Gateway není nasazená, je možné ji předat ata Gateway jedním ze dvou způsobů tak, že nakonfiguruje ATA Gateway tak, aby naslouchala událostem SIEM, nebo konfigurací předávání událostí systému Windows.

Poznámka:

Pokud používáte jádro serveru, můžete použít wecutil k vytvoření a správě odběrů událostí předávaných ze vzdálených počítačů.

Konfigurace WEF pro ATA Gateway se zrcadlením portů

Po konfiguraci zrcadlení portů z řadičů domény do ATA Gateway pomocí následujících pokynů nakonfigurujte předávání událostí systému Windows pomocí konfigurace iniciované zdrojem. Toto je jeden ze způsobů, jak nakonfigurovat předávání událostí systému Windows.

Krok 1: Přidejte účet síťové služby do skupiny Event Log Readers domény.

V tomto scénáři předpokládejme, že ATA Gateway je členem domény.

 1. Otevřete Uživatelé a počítače služby Active Directory, přejděte do složky BuiltIn a poklikejte na čtečky protokolu událostí.
 2. Vyberte členy.
 3. Pokud síťová služba není uvedená, vyberte Přidat, do pole Zadejte názvy objektů, které chcete vybrat. Pak vyberte Zkontrolovat jména a dvakrát vyberte OK .

Po přidání síťové služby do skupiny Event Log Readers restartujte řadiče domény, aby se změna projevila.

Krok 2: Vytvořte zásadu na řadičích domény a nastavte nastavení Konfigurovat cílového správce předplatného.

Poznámka:

Můžete vytvořit zásadu skupiny pro tato nastavení a použít zásady skupiny pro každý řadič domény monitorovaný komponentou ATA Gateway. Následující postup upraví místní zásady řadiče domény.

 1. Na každém řadiči domény spusťte následující příkaz: winrm quickconfig

 2. Z příkazového řádku zadejte gpedit.msc.

 3. Rozbalte položku Konfigurace > počítače Správa istrativní šablony > předávání událostí komponent systému > Windows.

  Local policy group editor image.

 4. Poklikejte na Konfigurovat cílového správce předplatného.

  1. Vyberte Povoleno.

  2. V části Možnosti vyberte Zobrazit.

  3. V části SubscriptionManagers zadejte následující hodnotu a vyberte OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

   (Příklad: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

   Configure target subscription image.

  4. Vyberte OK.

  5. Z příkazového řádku se zvýšenými oprávněními zadejte gpupdate /force.

Krok 3: Provedením následujících kroků v ATA Gateway

 1. Otevřete příkazový řádek se zvýšenými oprávněními a zadejte příkaz wecutil qc.

 2. Otevřete Prohlížeč událostí.

 3. Klikněte pravým tlačítkem na Předplatná a vyberte Vytvořit předplatné.

  1. Zadejte název a popis předplatného.

  2. V případě cílového protokolu potvrďte, že jsou vybrané přeposílané události . Aby ATA události četla, musí být cílový protokol přeposlaný.

  3. Vyberte Spuštěný zdrojový počítač a pak zvolte Vybrat skupiny počítačů.

   1. Vyberte Přidat počítač domény.
   2. Do pole Zadejte název objektu, který chcete vybrat, zadejte název řadiče domény. Pak vyberte Zkontrolovat jména a vyberte OK.
    Event Viewer image.
   3. Vyberte OK.
  4. Vyberte Vybrat události.

   1. Vyberte Podle protokolu a vyberte Zabezpečení.
   2. Do pole Zahrnout/Vyloučit ID události zadejte číslo události a vyberte OK. Zadejte například 4776, například v následující ukázce.

   Query filter image.

  5. Klikněte pravým tlačítkem na vytvořené předplatné a vyberte Stav modulu runtime, abyste zjistili, jestli nedošlo k nějakým problémům se stavem.

  6. Po několika minutách zkontrolujte, jestli se události, které jste nastavili na přeposílání, zobrazují ve službě ATA Gateway předávané události.

Další informace najdete v tématu: Konfigurace počítačů pro předávání a shromažďování událostí

Viz také