Mengonfigurasi Koleksi Peristiwa Windows
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Catatan
Untuk ATA versi 1.8 dan yang lebih tinggi, konfigurasi pengumpulan peristiwa tidak lagi diperlukan untuk Gateway Ringan ATA. Gateway ATA Lightweight sekarang membaca peristiwa secara lokal, tanpa perlu mengonfigurasi penerusan peristiwa.
Untuk meningkatkan kemampuan deteksi, ATA memerlukan peristiwa Windows berikut: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Ini dapat dibaca secara otomatis oleh Gateway Ringan ATA atau jika Gateway Ringan ATA tidak disebarkan, itu dapat diteruskan ke Gateway ATA dengan salah satu dari dua cara, dengan mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM atau dengan mengonfigurasi Penerusan Peristiwa Windows.
Catatan
Jika Anda menggunakan Server Core, wecutil dapat digunakan untuk membuat dan mengelola langganan ke peristiwa yang diteruskan dari komputer jarak jauh.
Konfigurasi WEF untuk Gateway ATA dengan pencerminan port
Setelah mengonfigurasi pencerminan port dari pengontrol domain ke Gateway ATA, gunakan instruksi berikut untuk mengonfigurasi penerusan Peristiwa Windows menggunakan konfigurasi Yang Dimulai Sumber. Ini adalah salah satu cara untuk mengonfigurasi penerusan Peristiwa Windows.
Langkah 1: Tambahkan akun layanan jaringan ke Grup Pembaca Log Peristiwa domain.
Dalam skenario ini, asumsikan bahwa Gateway ATA adalah anggota domain.
- Buka Pengguna dan Komputer Direktori Aktif, navigasikan ke folder BuiltIn dan klik dua kali Pembaca Log Peristiwa.
- Pilih Anggota.
- Jika Layanan Jaringan tidak tercantum, pilih Tambahkan, ketik Layanan Jaringan di bidang Masukkan nama objek untuk dipilih . Lalu pilih Periksa Nama dan pilih OK dua kali.
Setelah menambahkan Layanan Jaringan ke grup Pembaca Log Peristiwa, mulai ulang pengontrol domain agar perubahan diterapkan.
Langkah 2: Buat kebijakan pada pengontrol domain untuk mengatur pengaturan Konfigurasikan Manajer Langganan target.
Catatan
Anda dapat membuat kebijakan grup untuk pengaturan ini dan menerapkan kebijakan grup ke setiap pengendali domain yang dipantau oleh Gateway ATA. Langkah-langkah di bawah ini mengubah kebijakan lokal pengendali domain.
Jalankan perintah berikut pada setiap pengontrol domain: winrm quickconfig
Dari perintah ketik gpedit.msc.
Perluas Templat > Administratif Konfigurasi > Komputer Penerusan > Peristiwa Komponen Windows
Klik ganda Konfigurasikan Manajer Langganan target.
Pilih Diaktifkan.
Di bawah Opsi, pilih Perlihatkan.
Di bawah SubscriptionManagers, masukkan nilai berikut dan pilih OK:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(Misalnya: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)Pilih OK.
Dari perintah yang ditingkatkan, ketik gpupdate /force.
Langkah 3: Lakukan langkah-langkah berikut pada Gateway ATA
Buka prompt perintah yang ditingkatkan dan ketik wecutil qc
Buka Pemantau Peristiwa.
Klik kanan Langganan dan pilih Buat Langganan.
Masukkan nama dan deskripsi untuk langganan.
Untuk Log Tujuan, konfirmasikan bahwa Peristiwa yang Diteruskan dipilih. Agar ATA membaca peristiwa, log tujuan harus Diteruskan Peristiwa.
Pilih Komputer sumber dimulai lalu pilih Pilih Grup Komputer.
- Pilih Tambahkan Komputer Domain.
- Masukkan nama pengendali domain di bidang Masukkan nama objek untuk dipilih . Lalu pilih Periksa Nama dan pilih OK.
- Pilih OK.
Pilih Pilih Peristiwa.
- Pilih Menurut log dan pilih Keamanan.
- Di bidang Sertakan/Kecualikan ID Peristiwa ketik nomor peristiwa dan pilih OK. Misalnya, ketik 4776, seperti dalam sampel berikut.
Klik kanan langganan yang dibuat dan pilih Status Runtime untuk melihat apakah ada masalah dengan status tersebut.
Setelah beberapa menit, periksa untuk melihat bahwa peristiwa yang Anda atur untuk diteruskan muncul di Peristiwa yang Diteruskan di Gateway ATA.
Untuk informasi selengkapnya, lihat: Mengonfigurasi komputer untuk meneruskan dan mengumpulkan peristiwa