Megosztás a következőn keresztül:

A Windows-eseménygyűjtemény konfigurálása

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

Feljegyzés

Az ATA 1.8-s és újabb verziói esetében az eseménygyűjtés konfigurálása már nem szükséges az egyszerűsített ATA-átjárókhoz. Az egyszerűsített ATA-átjáró mostantól helyileg olvassa be az eseményeket anélkül, hogy konfigurálnia kellene az eseménytovábbítást.

Az észlelési képességek javításához az ATA-nak a következő Windows-eseményekre van szüksége: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Ezeket automatikusan beolvashatja az egyszerűsített ATA-átjáró, vagy ha az egyszerűsített ATA-átjáró nincs üzembe helyezve, két módon továbbítható az ATA-átjárónak, az ATA-átjáró konfigurálásával a SIEM-események figyelésére, vagy a Windows eseménytovábbítás konfigurálásával.

Feljegyzés

Ha a Server Core-t használja, a wecutil segítségével távoli számítógépekről továbbított eseményekre való előfizetéseket hozhat létre és kezelhet.

AZ ATA-átjárók WEF-konfigurációja porttükrözéssel

Miután konfigurálta a porttükrözést a tartományvezérlőkről az ATA-átjáróra, az alábbi utasításokat követve konfigurálja a Windows eseménytovábbítást a forrás által kezdeményezett konfigurációval. Ez az egyik módja a Windows-eseménytovábbítás konfigurálásának.

1. lépés: Adja hozzá a hálózati szolgáltatásfiókot a tartomány eseménynapló-olvasó csoportjához.

Ebben a forgatókönyvben feltételezzük, hogy az ATA-átjáró a tartomány tagja.

  1. Nyissa meg Active Directory - felhasználók és számítógépek, lépjen a BuiltIn mappába, és kattintson duplán az Eseménynapló-olvasók elemre.
  2. Válassza a Tagok lehetőséget.
  3. Ha a Hálózati szolgáltatás nem szerepel a listában, válassza a Hozzáadás elemet, írja be a Hálózati szolgáltatás kifejezést az Enter the object names to select field (Az objektumnevek megadása ) mezőbe. Ezután válassza a Nevek ellenőrzése lehetőséget, majd kattintson kétszer az OK gombra .

Miután hozzáadta a hálózati szolgáltatást az Eseménynapló-olvasók csoporthoz, indítsa újra a tartományvezérlőket a módosítás érvénybe lépéséhez.

2. lépés: Hozzon létre egy szabályzatot a tartományvezérlőkön a célelőfizetés-kezelő beállításának beállításához.

Feljegyzés

Ezekhez a beállításokhoz létrehozhat egy csoportházirendet, és alkalmazhatja a csoportházirendet az ATA-átjáró által figyelt tartományvezérlőkre. Az alábbi lépések a tartományvezérlő helyi házirendjének módosítását ismertetik.

  1. Futtassa a következő parancsot minden tartományvezérlőn: winrm quickconfig

  2. Egy parancssorból írja be a gpedit.msc parancsot.

  3. Számítógép konfigurációjának felügyeleti > sablonjainak > kibontása Windows-összetevők > eseménytovábbítása

    Helyi házirendcsoport-szerkesztő képe.

  4. Kattintson duplán a Cél előfizetés-kezelő konfigurálása elemre.

    1. Válassza az Engedélyezve lehetőséget.

    2. A Beállítások területen válassza a Megjelenítés lehetőséget.

    3. Az SubscriptionManagers területen adja meg a következő értéket, és válassza az OK gombot:Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Például: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Konfigurálja a cél-előfizetés rendszerképét.

    4. Kattintson az OK gombra.

    5. Rendszergazda jogú parancssorból írja be a gpupdate /force parancsot.

3. lépés: Hajtsa végre az alábbi lépéseket az ATA-átjárón

  1. Nyisson meg egy rendszergazda jogú parancssort, és írja be a wecutil qc parancsot

  2. Nyissa meg az Eseménynaplót.

  3. Kattintson a jobb gombbal az Előfizetések elemre, és válassza az Előfizetés létrehozása lehetőséget.

    1. Adja meg az előfizetés nevét és leírását.

    2. A célnapló esetében győződjön meg arról, hogy a továbbított események ki van választva. Ahhoz, hogy az ATA beolvassa az eseményeket, a célnaplónak továbbított eseményeknek kell lennie.

    3. Válassza a Kezdeményezett forrásszámítógép lehetőséget, majd válassza a Számítógépcsoportok kiválasztása lehetőséget.

      1. Válassza a Tartományszámítógép hozzáadása lehetőséget.
      2. Adja meg a tartományvezérlő nevét az Enter the object name to select mezőben. Ezután válassza a Nevek ellenőrzése, majd az OK gombot.
        Eseménynapló kép.
      3. Kattintson az OK gombra.

    4. Válassza az Események kijelölése lehetőséget.

      1. Válassza a Napló alapján lehetőséget, és válassza a Biztonság lehetőséget.
      2. Az Includes/Excludes Event ID (Az eseményazonosító beleértése/kizárása) mezőbe írja be az esemény számát, és válassza az OK gombot. Írja be például a 4776-ot, mint az alábbi példában.

      Lekérdezésszűrő képe.

    5. Kattintson a jobb gombbal a létrehozott előfizetésre, és válassza a Futtatókörnyezet állapota lehetőséget, és ellenőrizze, hogy vannak-e problémák az állapottal kapcsolatban.

    6. Néhány perc elteltével ellenőrizze, hogy a továbbítandó események megjelennek-e az ATA-átjáró továbbított eseményeiben.

További információ: A számítógépek konfigurálása események továbbítására és gyűjtésére

Kapcsolódó információk