Configurar a coleta de eventos do Windows
Aplica-se a: Advanced Threat Analytics versão 1.9
Observação
Para as versões 1.8 e superiores do ATA, a configuração da coleta de eventos não é mais necessária para os ATA Lightweight Gateways. O ATA Lightweight Gateway agora lê eventos localmente, sem a necessidade de configurar o encaminhamento de eventos.
Para aprimorar os recursos de detecção, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Eles podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não seja implantado, ele pode ser encaminhado para o ATA Gateway de uma de duas maneiras, configurando o ATA Gateway para escutar eventos SIEM ou configurando o Windows Event Forwarding.
Observação
Se você estiver usando o Server Core, o wecutil pode ser usado para criar e gerenciar assinaturas de eventos que são encaminhados de computadores remotos.
Configuração do WEF para ATA Gateways com espelhamento de porta
Depois de configurar o espelhamento de porta dos controladores de domínio para o ATA Gateway, use as instruções a seguir para configurar o Windows Event Forwarding usando a configuração Source Initiated. Essa é uma maneira de configurar o Windows Event Forwarding.
Etapa 1: adicionar a conta de serviço de rede ao Grupo de Leitores de Log de Eventos do domínio.
Nesse cenário, suponha que o ATA Gateway seja um membro do domínio.
- Abra Usuários e Computadores do Active Directory, navegue até a pasta BuiltIn e clique duas vezes em Leitores de log de eventos.
- Selecione Membros.
- Se Serviço de Rede não estiver listado, selecione Adicionar e digite Serviço de Rede no campo Digite os nomes de objeto a serem selecionados. Depois selecione Verificar Nomes e, em seguida, OK duas vezes.
Depois de adicionar o Serviço de Rede ao grupo Leitores de log de eventos, reinicialize os controladores de domínio para que a alteração entre em vigor.
Etapa 2: criar uma política nos controladores de domínio para definir a opção Configurar gerenciador de assinaturas de destino.
Observação
Você pode criar uma política de grupo para essas configurações e aplicar a política de grupo a cada controlador de domínio monitorado pelo ATA Gateway. As etapas a seguir modificam a política local do controlador de domínio.
Execute o seguinte comando em cada controlador de domínio: winrm quickconfig
No prompt de comando, digite gpedit.msc.
Expanda Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encaminhamento de Eventos
Clique duas vezes em Configurar gerenciador de assinaturas de destino.
Selecione Habilitado.
Em Opções, selecione Mostrar.
Em SubscriptionManagers, insira o seguinte valor e selecione OK:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(Por exemplo: Server=
http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)Selecione OK.
Abra um prompt de comando com privilégios elevados e digite gpupdate /force.
Etapa 3: Execute as seguintes etapas no ATA Gateway
Abra um prompt de comando com privilégios elevados e digite wecutil qc
Abra o Visualizador de Eventos.
Clique com o botão direito do mouse em Assinaturas e selecione Criar assinatura.
Insira um nome e uma descrição para a assinatura.
Em Log de destino, confirme se Eventos encaminhados está selecionado. Para que o ATA leia os eventos, o log de destino deve ser Eventos encaminhados.
Selecione Computador de origem iniciado e, em seguida, escolha Selecionar grupos de computadores.
- Selecione Adicionar computador do domínio.
- Digite o nome do controlador de domínio no campo Digite o nome do objeto a ser selecionado. Depois selecione Verificar nomes e, em seguida, OK.
- Selecione OK.
Selecione Selecionar eventos.
- Selecione Por log e, em seguida, Segurança.
- No campo Inclui/exclui ID do evento, digite o número do evento e selecione OK. Por exemplo, digite 4776, como no exemplo a seguir.
Clique com o botão direito do mouse na assinatura criada e selecione Status em tempo de execução para ver se há algum problema com o status.
Depois de alguns minutos, verifique se os eventos definidos para serem encaminhados estão aparecendo nos Eventos Encaminhados no ATA Gateway.
Para obter mais informações, consulte Configurar computadores para encaminhar e coletar eventos.