Konfigurowanie funkcji przekazywania zdarzeń systemu Windows

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

Uwaga

W przypadku usługi ATA w wersji 1.8 i nowszych nie trzeba już konfigurować zbierania zdarzeń dla uproszczonych bram usługi ATA. Uproszczona brama usługi ATA odczytuje teraz zdarzenia lokalnie bez konieczności konfigurowania przekazywania zdarzeń.

Aby zwiększyć możliwości wykrywania, usługa ATA potrzebuje następujących zdarzeń systemu Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Mogą one być odczytywane automatycznie przez uproszczoną bramę usługi ATA lub w przypadku, gdy uproszczona brama usługi ATA nie jest wdrożona, można ją przekazać do bramy usługi ATA na jeden z dwóch sposobów, konfigurując bramę usługi ATA do nasłuchiwania zdarzeń SIEM lub przez skonfigurowanie przekazywania zdarzeń systemu Windows.

Uwaga

Jeśli używasz server core, wecutil może służyć do tworzenia subskrypcji i zarządzania nimi do zdarzeń, które są przekazywane z komputerów zdalnych.

Konfiguracja funkcji przekazywania zdarzeń (WEF) bramy usługi ATA z dublowaniem portów

Po skonfigurowaniu funkcji dublowania portów z kontrolerów domeny do bramy usługi ATA skorzystaj z poniższych instrukcji, aby skonfigurować przekazywanie zdarzeń systemu Windows przy użyciu konfiguracji inicjowanej przez źródło. Jest to jeden ze sposobów konfigurowania przekazywania zdarzeń systemu Windows.

Krok 1: Dodaj konto usługi sieciowej do grupy Czytelnicy dzienników zdarzeń domeny

W tym scenariuszu załóżmy, że brama usługi ATA jest członkiem domeny.

  1. Otwórz Użytkownicy i komputery usługi Active Directory, przejdź do folderu BuiltIn i kliknij dwukrotnie pozycję Czytelnicy dziennika zdarzeń.
  2. Wybierz pozycję Członkowie.
  3. Jeśli pozycji Usługa sieciowa nie ma na liście, kliknij przycisk Dodaj i wpisz Usługa sieciowa w polu Wprowadź nazwy obiektów do wybrania. Następnie kliknij opcję Sprawdź nazwy i kliknij dwukrotnie przycisk OK.

Po dodaniu usługi sieciowej do grupy Czytelnicy dzienników zdarzeń uruchom ponownie kontrolery domeny, aby zmiany zaczęły obowiązywać.

Krok 2: Utwórz zasady na kontrolerach domeny, aby skonfigurować ustawienie Konfiguruj docelowego Menedżera subskrypcji.

Uwaga

Można tworzyć dla tych ustawień zasady grupy i stosować zasady grupy do każdego kontrolera domeny monitorowanego przez bramę usługi ATA. Poniższe kroki umożliwiają modyfikację zasad lokalnych kontrolera domeny.

  1. Uruchom następujące polecenie na każdym kontrolerze domeny: winrm quickconfig

  2. W wierszu polecenia wpisz ciąg gpedit.msc.

  3. Rozwiń węzeł Konfiguracja > komputera Szablony > administracyjne Składniki > systemu Windows — przekazywanie zdarzeń

    Obraz edytora grup zasad lokalnych.

  4. Kliknij dwukrotnie pozycję Konfiguruj docelowego Menedżera subskrypcji.

    1. Wybierz pozycję Włączone.

    2. W obszarze Opcje kliknij pozycję Pokaż.

    3. W obszarze SubscriptionManagers wprowadź następującą wartość i kliknij przycisk OK: Server=http://<fqdnATAGateway>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Na przykład: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Skonfiguruj obraz subskrypcji docelowej.

    4. Kliknij przycisk OK.

    5. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz gpupdate /force.

Krok 3: W odniesieniu do bramy usługi ATA wykonaj następujące kroki

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz wecutil qc

  2. Otwórz Podgląd zdarzeń.

  3. Kliknij prawym przyciskiem myszy pozycję Subskrypcje i wybierz pozycję Utwórz subskrypcję.

    1. Wprowadź nazwę i opis subskrypcji.

    2. W obszarze Dziennik docelowy upewnij się, że wybrano opcję Zdarzenia przekazane . Aby usługa ATA odczytywała zdarzenia, dziennik docelowy musi mieć wartość Zdarzenia przekazywane.

    3. Wybierz opcję Zainicjowane przez komputer źródłowy i kliknij przycisk Wybierz grupy komputerów.

      1. Kliknij przycisk Dodaj komputer w domenie.
      2. Wprowadź nazwę kontrolera domeny w polu Wprowadź nazwę obiektu do wybrania. Kliknij opcję Sprawdź nazwy i kliknij przycisk OK.
        Podgląd zdarzeń obraz.
      3. Kliknij przycisk OK.

    4. Kliknij przycisk Wybierz zdarzenia.

      1. Kliknij przycisk Według dzienników i wybierz opcję Zabezpieczenia.
      2. W polu Obejmuje/wyklucza zdarzenie o identyfikatorze wpisz numer zdarzenia i kliknij przycisk OK. Na przykład wpisz 4776, jak w poniższym przykładzie.

      Obraz filtru zapytania.

    5. Kliknij prawym przyciskiem myszy utworzoną subskrypcję i wybierz pozycję Stan środowiska uruchomieniowego , aby sprawdzić, czy występują problemy ze stanem.

    6. Po kilku minutach sprawdź, czy zdarzenia ustawione do przekazania są wyświetlane w zdarzeniach przekazanych w bramie usługi ATA.

Aby uzyskać więcej informacji, zobacz : Konfigurowanie komputerów do przekazywania i zbierania zdarzeń

Zobacz też