A Windows-eseménygyűjtemény konfigurálása
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Feljegyzés
Az ATA 1.8-s és újabb verziói esetében az eseménygyűjtés konfigurálása már nem szükséges az egyszerűsített ATA-átjárókhoz. Az egyszerűsített ATA-átjáró mostantól helyileg olvassa be az eseményeket anélkül, hogy konfigurálnia kellene az eseménytovábbítást.
Az észlelési képességek javításához az ATA-nak a következő Windows-eseményekre van szüksége: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Ezeket automatikusan beolvashatja az egyszerűsített ATA-átjáró, vagy ha az egyszerűsített ATA-átjáró nincs üzembe helyezve, két módon továbbítható az ATA-átjárónak, az ATA-átjáró konfigurálásával a SIEM-események figyelésére, vagy a Windows eseménytovábbítás konfigurálásával.
Feljegyzés
Ha a Server Core-t használja, a wecutil segítségével távoli számítógépekről továbbított eseményekre való előfizetéseket hozhat létre és kezelhet.
AZ ATA-átjárók WEF-konfigurációja porttükrözéssel
Miután konfigurálta a porttükrözést a tartományvezérlőkről az ATA-átjáróra, az alábbi utasításokat követve konfigurálja a Windows eseménytovábbítást a forrás által kezdeményezett konfigurációval. Ez az egyik módja a Windows-eseménytovábbítás konfigurálásának.
1. lépés: Adja hozzá a hálózati szolgáltatásfiókot a tartomány eseménynapló-olvasó csoportjához.
Ebben a forgatókönyvben feltételezzük, hogy az ATA-átjáró a tartomány tagja.
- Nyissa meg Active Directory - felhasználók és számítógépek, lépjen a BuiltIn mappába, és kattintson duplán az Eseménynapló-olvasók elemre.
- Válassza a Tagok lehetőséget.
- Ha a Hálózati szolgáltatás nem szerepel a listában, válassza a Hozzáadás elemet, írja be a Hálózati szolgáltatás kifejezést az Enter the object names to select field (Az objektumnevek megadása ) mezőbe. Ezután válassza a Nevek ellenőrzése lehetőséget, majd kattintson kétszer az OK gombra .
Miután hozzáadta a hálózati szolgáltatást az Eseménynapló-olvasók csoporthoz, indítsa újra a tartományvezérlőket a módosítás érvénybe lépéséhez.
2. lépés: Hozzon létre egy szabályzatot a tartományvezérlőkön a célelőfizetés-kezelő beállításának beállításához.
Feljegyzés
Ezekhez a beállításokhoz létrehozhat egy csoportházirendet, és alkalmazhatja a csoportházirendet az ATA-átjáró által figyelt tartományvezérlőkre. Az alábbi lépések a tartományvezérlő helyi házirendjének módosítását ismertetik.
Futtassa a következő parancsot minden tartományvezérlőn: winrm quickconfig
Egy parancssorból írja be a gpedit.msc parancsot.
Számítógép konfigurációjának felügyeleti > sablonjainak > kibontása Windows-összetevők > eseménytovábbítása
Kattintson duplán a Cél előfizetés-kezelő konfigurálása elemre.
Válassza az Engedélyezve lehetőséget.
A Beállítások területen válassza a Megjelenítés lehetőséget.
Az SubscriptionManagers területen adja meg a következő értéket, és válassza az OK gombot:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(Például: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)Kattintson az OK gombra.
Rendszergazda jogú parancssorból írja be a gpupdate /force parancsot.
3. lépés: Hajtsa végre az alábbi lépéseket az ATA-átjárón
Nyisson meg egy rendszergazda jogú parancssort, és írja be a wecutil qc parancsot
Nyissa meg az Eseménynaplót.
Kattintson a jobb gombbal az Előfizetések elemre, és válassza az Előfizetés létrehozása lehetőséget.
Adja meg az előfizetés nevét és leírását.
A célnapló esetében győződjön meg arról, hogy a továbbított események ki van választva. Ahhoz, hogy az ATA beolvassa az eseményeket, a célnaplónak továbbított eseményeknek kell lennie.
Válassza a Kezdeményezett forrásszámítógép lehetőséget, majd válassza a Számítógépcsoportok kiválasztása lehetőséget.
- Válassza a Tartományszámítógép hozzáadása lehetőséget.
- Adja meg a tartományvezérlő nevét az Enter the object name to select mezőben. Ezután válassza a Nevek ellenőrzése, majd az OK gombot.
- Kattintson az OK gombra.
Válassza az Események kijelölése lehetőséget.
- Válassza a Napló alapján lehetőséget, és válassza a Biztonság lehetőséget.
- Az Includes/Excludes Event ID (Az eseményazonosító beleértése/kizárása) mezőbe írja be az esemény számát, és válassza az OK gombot. Írja be például a 4776-ot, mint az alábbi példában.
Kattintson a jobb gombbal a létrehozott előfizetésre, és válassza a Futtatókörnyezet állapota lehetőséget, és ellenőrizze, hogy vannak-e problémák az állapottal kapcsolatban.
Néhány perc elteltével ellenőrizze, hogy a továbbítandó események megjelennek-e az ATA-átjáró továbbított eseményeiben.
További információ: A számítógépek konfigurálása események továbbítására és gyűjtésére