Configuration de la collecte d’événements Windows

  • Article

S’applique à : Advanced Threat Analytics version 1.9

Remarque

Pour les versions 1.8 et ultérieures d’ATA, la configuration de la collecte d’événements n’est plus nécessaire pour les passerelles ATA Lightweight. la passerelle ATA Lightweight lit désormais les événements localement, sans avoir à transmettre l’événement de configuration.

Pour améliorer les fonctionnalités de détection, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Ceux-ci peuvent être lus automatiquement par la passerelle ATA Lightweight ou, si cette dernière n'est pas déployée, ils peuvent être transmis à la passerelle ATA de deux manières : en configurant la passerelle ATA pour qu'elle écoute les événements SIEM ou en configurant le transfert d'événements Windows.

Remarque

Si vous utilisez Server Core, wecutil peut être utilisé pour créer et gérer des abonnements à des événements transférés à partir d’ordinateurs distants.

Configuration WEF pour les passerelles ATA avec la mise en miroir des ports

Après avoir configuré la mise en miroir des ports des contrôleurs de domaine vers la passerelle ATA, suivez les instructions ci-dessous pour configurer le transfert d'événements Windows à l'aide de la configuration source initiée. Il s’agit d’une façon de configurer le transfert d’événements Windows.

Étape 1 : Ajoutez le compte de service réseau au groupe lecteurs du journal des événements du domaine.

Dans ce scénario, supposons que la passerelle ATA est membre du domaine.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory, accédez au dossier BuiltIn et double-cliquez sur Lecteurs du journal des événements.
  2. Sélectionnez Membres.
  3. Si le service réseau n’est pas répertorié, sélectionnez Ajouter, tapez Service réseau dans le champ Saisir les noms d’objets à sélectionner. Sélectionnez Vérifier les noms, puis sélectionnez deux fois OK.

Après avoir ajouté le Service réseau au groupe Lecteurs du journal des événements, redémarrez les contrôleurs de domaine pour que la modification prenne effet.

Étape 2 : Créez une stratégie sur les contrôleurs de domaine pour définir le paramètre Configurer le Gestionnaire d’abonnements cible.

Remarque

Vous pouvez créer une stratégie de groupe pour ces paramètres et appliquer la stratégie de groupe à chaque contrôleur de domaine surveillé par la passerelle ATA. Les étapes ci-dessous modifient la stratégie locale du contrôleur de domaine.

  1. Exécutez la commande suivante sur chaque contrôleur de domaine : winrm quickconfig

  2. Depuis une invite de commandes, saisir gpedit.msc.

  3. Développez Configuration de l'ordinateur > Modèles d'administration >Composants Windows > Redirection d'événements

    Local policy group editor image.

  4. Double-cliquez sur Configurer le Gestionnaire d’abonnements cible.

    1. Sélectionnez Enabled.

    2. Sous Options, sélectionnez Afficher.

    3. Sous SubscriptionManagers, saisir la valeur suivante, puis sélectionner OK : Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Par exemple : Serveur=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Cliquez sur OK.

    5. Depuis une invite de commandes avec élévation de privilèges, saisissez gpupdate /force.

Étape 3 : effectuer les étapes suivantes sur la passerelle ATA

  1. Ouvrir une invite de commandes avec élévation de privilèges et saisir wecutil qc

  2. Ouvrez l’ Observateur d’événements.

  3. Cliquez avec le bouton droit sur Abonnements , puis sélectionnez Créer un abonnement.

    1. Entrez un nom et une description pour l’abonnement.

    2. Pour le journal de destination, vérifiez que les événements transférés sont sélectionnés. Pour qu’ATA lise les événements, le journal de destination doit être des événements transférés.

    3. Sélectionnez l’ordinateur source lancé , puis sélectionnez Groupes d’ordinateurs.

      1. Sélectionnez Ajouter un ordinateur de domaine.
      2. Saisir le nom du contrôleur de domaine dans le champ Saisir le nom de l’objet à sélectionner. Sélectionnez ensuite Vérifier les noms, puis OK.
        Event Viewer image.
      3. Cliquez sur OK.

    4. Sélectionnez Sélectionner des événements.

      1. Sélectionnez Par journal , puis sélectionnez Sécurité.
      2. Dans le champ Includes/Excludes Event ID , tapez le numéro d’événement et sélectionnez OK. Par exemple, tapez 4776, comme dans l’exemple suivant.

      Query filter image.

    5. Cliquer avec le bouton droit sur l’abonnement créé et sélectionner État du Runtime pour voir s’il existe des problèmes avec l’état.

    6. Après quelques minutes, vérifiez que les événements que vous avez définis pour être transférés s’affichent dans les événements transférés sur la passerelle ATA.

Pour plus d’informations, consultez : Configurer les ordinateurs pour transférer et recueillir les événements

Voir aussi