Compartir a través de

Configuración de la recopilación de eventos de Windows

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

Nota:

Para las versiones 1.8 y posteriores de ATA, la configuración de recopilación de eventos ya no es necesaria para las puertas de enlace ligeras de ATA. La puerta de enlace ligera de ATA ahora lee los eventos localmente, sin necesidad de configurar el reenvío de eventos.

Para mejorar las funcionalidades de detección, ATA necesita los siguientes eventos de Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757 y 7045. La puerta de enlace ligera de ATA puede leerlos automáticamente o, en caso de que no se implemente la puerta de enlace ligera de ATA, se pueden reenviar a la puerta de enlace de ATA de dos maneras, ya sea configurando la puerta de enlace de ATA para escuchar eventos SIEM o configurando el reenvío de eventos de Windows.

Nota:

Si usa Server Core, se puede usar wecutil para crear y administrar suscripciones a eventos que se han reenviado desde equipos remotos.

Configuración de WEF para puertas de enlace de ATA con creación de reflejo del puerto

Después de configurar la creación de reflejo del puerto desde los controladores de dominio hasta la puerta de enlace de ATA, siga las instrucciones siguientes para configurar el reenvío de eventos de Windows mediante la configuración iniciada por el origen. Esta es una manera de configurar el reenvío de eventos de Windows.

Paso 1: añada la cuenta de servicio de red al grupo de lectores del registro de eventos de dominio.

En este escenario, supongamos que la puerta de enlace de ATA es miembro del dominio.

  1. En Usuarios y equipos de Active Directory, vaya a la carpeta BuiltIn y haga doble clic en Lectores del registro de eventos.
  2. Seleccione Miembros.
  3. Si el servicio de red no aparece en la lista, seleccione Añadir y, después, escriba Servicio de red en el campo Escribir los nombres de objeto para seleccionar. Después, seleccione Comprobar nombres y Aceptar dos veces.

Después de añadir el servicio de red al grupo Lectores del registro de eventos, reinicie los controladores de dominio para que el cambio surta efecto.

Paso 2: cree una directiva en los controladores de dominio para establecer la configuración Configuración de administrador de suscripciones de destino.

Nota:

Puede crear una directiva de grupo para esta configuración y aplicar la directiva de grupo a cada controlador de dominio supervisado por la puerta de enlace de ATA. Los pasos siguientes modifican la directiva local del controlador de dominio.

  1. Ejecute el siguiente comando en cada controlador de dominio: winrm quickconfig

  2. Desde un tipo de símbolo del sistema gpedit.msc.

  3. Expanda Configuración del equipo > Plantillas administrativas > Componentes de Windows > Reenvío de eventos

    Local policy group editor image.

  4. Haga doble clic en Configurar el Administrador de suscripciones de destino.

    1. Seleccione Habilitado.

    2. En Opciones, seleccione Mostrar.

    3. En SubscriptionManagers, escriba el siguiente valor y seleccione Aceptar: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Por ejemplo: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Seleccione Aceptar.

    5. Desde un símbolo del sistema con privilegios elevados, escriba: gpupdate /force.

Paso 3: lleve a cabo los siguientes pasos en la puerta de enlace de ATA

  1. Abra un símbolo del sistema con privilegios elevados y escriba wecutil qc.

  2. Abra Visor de eventos.

  3. Haga clic con el botón derecho en Suscripciones y seleccione Crear suscripción.

    1. Escriba un nombre y una descripción para la suscripción.

    2. En Destination Log, confirme que Forwarded Events está seleccionado. Para que ATA lea los eventos, el registro de destino debe ser Forwarded Events.

    3. Seleccione Source computer initiated y, después, elija Select Computers Groups.

      1. Seleccione Add Domain Computer.
      2. Escriba el nombre del controlador de dominio en el campo Enter the object name to select. Después, seleccione Comprobar nombres y Aceptar.
        Event Viewer image.
      3. Seleccione Aceptar.

    4. Seleccione Select Events.

      1. Seleccione By log y Seguridad.
      2. En el campo Includes/Excludes Event ID, escriba el número de evento y seleccione Aceptar. Por ejemplo, escriba 4776, como en el ejemplo siguiente.

      Query filter image.

    5. Haga clic con el botón derecho en la suscripción creada y seleccione Estado en tiempo de ejecución para ver si hay algún problema con el estado.

    6. Después de unos minutos, compruebe que los eventos que estableció para reenviarse se muestran en los eventos reenviados de la puerta de enlace de ATA.

Para obtener más información, consulte Configurar ordenadores para reenviar y recopilar eventos.

Consulte también