Windows-gebeurtenisverzameling configureren

  • Artikel

Van toepassing op: Advanced Threat Analytics versie 1.9

Notitie

Voor ATA-versies 1.8 en hoger is configuratie van gebeurtenisverzameling niet meer nodig voor ATA Lightweight-gateways. De ATA Lightweight-gateway leest nu gebeurtenissen lokaal, zonder dat het doorsturen van gebeurtenissen hoeft te worden geconfigureerd.

Om de detectiemogelijkheden te verbeteren, heeft ATA de volgende Windows-gebeurtenissen nodig: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Deze kunnen automatisch worden gelezen door de ATA Lightweight-gateway of als de ATA Lightweight-gateway niet is geïmplementeerd, kan deze op twee manieren worden doorgestuurd naar de ATA-gateway door de ATA Gateway te configureren om te luisteren naar SIEM-gebeurtenissen of door Windows Event Forwarding te configureren.

Notitie

Als u Server Core gebruikt, kunnen wecutil worden gebruikt voor het maken en beheren van abonnementen op gebeurtenissen die worden doorgestuurd vanaf externe computers.

WEF-configuratie voor ATA Gateway met poortspiegeling

Nadat u poortspiegeling hebt geconfigureerd van de domeincontrollers naar de ATA Gateway, gebruikt u de volgende instructies om Windows Event Forwarding te configureren met behulp van de door bron geïnitieerde configuratie. Dit is een manier om Windows Event Forwarding te configureren.

Stap 1: Voeg het netwerkserviceaccount toe aan de groep Lezers van gebeurtenislogboeken van het domein.

In dit scenario wordt ervan uitgegaan dat de ATA Gateway lid is van het domein.

  1. Open Active Directory, navigeer naar de map BuiltIn en dubbelklik op Gebeurtenislogboeklezers.
  2. Selecteer Leden.
  3. Als De netwerkservice niet wordt weergegeven, selecteert u Toevoegen, typt u Netwerkservice in het veld De objectnamen invoeren om het veld te selecteren. Selecteer Vervolgens Namen controleren en selecteer OK twee keer.

Nadat u de netwerkservice hebt toegevoegd aan de groep Lezers van gebeurtenislogboeken, start u de domeincontrollers opnieuw op om de wijziging door te voeren.

Stap 2: Maak een beleid op de domeincontrollers om de instelling Target Subscription Manager configureren in te stellen.

Notitie

U kunt een groepsbeleid voor deze instellingen maken en het groepsbeleid toepassen op elke domeincontroller die wordt bewaakt door de ATA Gateway. Met de onderstaande stappen wijzigt u het lokale beleid van de domeincontroller.

  1. Voer de volgende opdracht uit op elke domeincontroller: winrm quickconfig

  2. Typ gpedit.msc vanaf een opdrachtprompt.

  3. Computerconfiguratie uitvouwen Beheer istratieve sjablonen > Windows Components >> Event Forwarding

    Local policy group editor image.

  4. Dubbelklik op Doelabonnementbeheer configureren.

    1. Selecteer Ingeschakeld.

    2. Selecteer Onder Opties de optie Weergeven.

    3. Voer onder SubscriptionManagers de volgende waarde in en selecteer OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Bijvoorbeeld: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Selecteer OK.

    5. Vanaf een opdrachtprompt met verhoogde bevoegdheid typt u gpupdate /force.

Stap 3: Voer de volgende stappen uit op de ATA Gateway

  1. Open een opdrachtprompt met verhoogde bevoegdheid en typ wecutil qc

  2. Open Logboeken.

  3. Klik met de rechtermuisknop op Abonnementen en selecteer Abonnement maken.

    1. Voer een naam en beschrijving in voor het abonnement.

    2. Controleer voor doellogboek of Doorgestuurde gebeurtenissen is geselecteerd. Om de gebeurtenissen te kunnen lezen, moet het doellogboek doorgestuurde gebeurtenissen zijn.

    3. Selecteer De broncomputer geïnitieerd en kies Computersgroepen selecteren.

      1. Selecteer Domeincomputer toevoegen.
      2. Voer de naam van de domeincontroller in het veld Voer de objectnaam in om het veld te selecteren . Selecteer Vervolgens Namen controleren en selecteer OK.
        Event Viewer image.
      3. Selecteer OK.

    4. Selecteer Gebeurtenissen selecteren.

      1. Selecteer Op logboek en selecteer Beveiliging.
      2. Typ in het veld Gebeurtenis-id inclusief/uitsluiten het gebeurtenisnummer en selecteer OK. Typ bijvoorbeeld 4776, zoals in het volgende voorbeeld.

      Query filter image.

    5. Klik met de rechtermuisknop op het gemaakte abonnement en selecteer Runtimestatus om te zien of er problemen zijn met de status.

    6. Controleer na enkele minuten of de gebeurtenissen die u hebt ingesteld om te worden doorgestuurd, worden weergegeven in de doorgestuurde gebeurtenissen op de ATA Gateway.

Zie voor meer informatie: De computers configureren voor het doorsturen en verzamelen van gebeurtenissen

Zie ook