다음을 통해 공유

Windows 이벤트 컬렉션 구성

  • 아티클

적용 대상: Advanced Threat Analytics 버전 1.9

참고 항목

ATA 버전 1.8 이상의 경우 ATA 경량 게이트웨이에 이벤트 수집 구성이 더 이상 필요하지 않습니다. 이제 ATA 경량 게이트웨이는 이벤트 전달을 구성할 필요 없이 이벤트를 로컬로 읽습니다.

검색 기능을 향상시키기 위해 ATA에는 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045의 Windows 이벤트가 필요합니다. ATA 경량 게이트웨이에서 자동으로 읽거나 ATA 경량 게이트웨이가 배포되지 않은 경우 SIEM 이벤트를 수신하도록 ATA 게이트웨이를 구성하거나 Windows 이벤트 전달을 구성하여 두 가지 방법 중 하나로 ATA 게이트웨이로 전달할 수 있습니다.

참고 항목

Server Core 를 사용하는 경우 원격 컴퓨터에서 전달되는 이벤트에 대한 구독을 만들고 관리하는 데 wecutil 을 사용할 수 있습니다.

포트 미러링을 사용하여 ATA 게이트웨이에 대한 WEF 구성

도메인 컨트롤러에서 ATA 게이트웨이로 포트 미러링을 구성한 후 다음 지침을 사용하여 원본 시작 구성을 사용하여 Windows 이벤트 전달을 구성합니다. 이는 Windows 이벤트 전달을 구성하는 한 가지 방법입니다.

1단계: 도메인 이벤트 로그 판독기 그룹에 네트워크 서비스 계정을 추가합니다.

이 시나리오에서는 ATA 게이트웨이가 도메인의 멤버라고 가정합니다.

  1. Active Directory 사용자 및 컴퓨터 열고 BuiltIn 폴더로 이동하고 이벤트 로그 판독기를 두 번 클릭합니다.
  2. 구성원을 선택합니다.
  3. 네트워크 서비스가 목록에 없으면 추가를 선택하고 개체 이름을 입력하여 필드를 선택합니다. 그런 다음 이름 확인을 선택하고 확인을 두 번 선택합니다.

이벤트 로그 판독기 그룹에 네트워크 서비스를 추가한 후 변경 내용이 적용되도록 도메인 컨트롤러를 다시 부팅합니다.

2단계: 도메인 컨트롤러에서 대상 구독 관리자 구성 설정을 위한 정책을 만듭니다.

참고 항목

이러한 설정에 대한 그룹 정책을 만들고 ATA 게이트웨이에서 모니터링하는 각 도메인 컨트롤러에 그룹 정책을 적용할 수 있습니다. 아래 단계에서는 도메인 컨트롤러의 로컬 정책을 수정합니다.

  1. 각 도메인 컨트롤러 에서 다음 명령을 실행합니다. winrm quickconfig

  2. 명령 프롬프트에서 gpedit.msc를 입력 합니다.

  3. 컴퓨터 구성 > 관리 템플릿 > 확장 Windows 구성 요소 > 이벤트 전달

    로컬 정책 그룹 편집기 이미지입니다.

  4. 대상 구독 관리자 구성을 두 번 클릭합니다.

    1. 사용을 선택합니다.

    2. 옵션에서 표시를 선택합니다.

    3. SubscriptionManagers에서 다음 값을 입력하고 확인을 선택합니다.Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (예: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      대상 구독 이미지를 구성합니다.

    4. 확인을 선택합니다.

    5. 관리자 권한 명령 프롬프트에서 gpupdate /force를 입력합니다.

3단계: ATA 게이트웨이에서 다음 단계 수행

  1. 관리자 권한 명령 프롬프트를 열고 wecutil qc를 입력 합니다.

  2. 이벤트 뷰어를 엽니다.

  3. 구독을 마우스 오른쪽 단추로 클릭하고 구독 만들기를 선택합니다.

    1. 구독의 이름과 설명을 입력합니다.

    2. 대상 로그의 경우 전달된 이벤트가 선택되어 있는지 확인합니다. ATA에서 이벤트를 읽으려면 대상 로그가 전달된 이벤트여야 합니다.

    3. 원본 컴퓨터를 시작한 다음 컴퓨터 그룹 선택을 선택합니다.

      1. 도메인 컴퓨터 추가를 선택합니다.
      2. 필드를 선택할 개체 이름 입력에 도메인 컨트롤러의 이름을 입력합니다. 그런 다음 이름 확인을 선택하고 확인을 선택합니다.
        이벤트 뷰어 이미지입니다.
      3. 확인을 선택합니다.

    4. 이벤트 선택을 선택합니다.

      1. 로그별로 선택하고 보안을 선택합니다.
      2. 포함/제외 이벤트 ID 필드에 이벤트 번호를 입력하고 확인을 선택합니다. 예를 들어 다음 샘플과 같이 4776을 입력합니다.

      쿼리 필터 이미지입니다.

    5. 만든 구독을 마우스 오른쪽 단추로 클릭하고 런타임 상태를 선택하여 상태에 문제가 있는지 확인합니다.

    6. 몇 분 후에 전달되도록 설정한 이벤트가 ATA 게이트웨이의 전달된 이벤트에 표시되는지 확인합니다.

자세한 내용은 다음을 참조하세요. 이벤트를 전달하고 수집하도록 컴퓨터 구성

참고 항목