Настройка коллекции событий Windows
Область применения: Advanced Threat Analytics версии 1.9
Примечание.
Для ATA версии 1.8 и выше конфигурация сбора событий больше не требуется для упрощенных шлюзов ATA. Упрощенный шлюз ATA теперь считывает события локально без необходимости настраивать перенаправление событий.
Чтобы улучшить возможности обнаружения, ATA требует следующих событий Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Они могут быть автоматически считываются упрощенным шлюзом ATA или в случае, если упрощенный шлюз ATA не развернут, его можно перенаправить в шлюз ATA одним из двух способов, настроив шлюз ATA для прослушивания событий SIEM или путем настройки пересылки событий Windows.
Примечание.
Если вы используете серверную ядро, wecutil можно использовать для создания подписок на события, перенаправленные с удаленных компьютеров, и управлять ими.
Конфигурация WEF для шлюза ATA с зеркальным отображением портов
После настройки зеркального отображения портов с контроллеров домена на шлюз ATA выполните следующие инструкции, чтобы настроить перенаправление событий Windows с помощью конфигурации, инициированной источником. Это один из способов настройки перенаправления событий Windows.
Шаг 1. Добавьте учетную запись сетевой службы в группу читателей журналов событий домена.
В этом сценарии предположим, что шлюз ATA является членом домена.
- Откройте Пользователи и компьютеры Active Directory, перейдите в папку BuiltIn и дважды щелкните читатели журналов событий.
- Выберите Участники.
- Если сетевая служба не указана, выберите "Добавить", введите "Сетевая служба" в поле "Ввод имен объектов" для выбора поля. Затем нажмите кнопку "Проверить имена" и дважды нажмите кнопку "ОК ".
После добавления сетевой службы в группу читателей журналов событий перезагрузите контроллеры домена, чтобы изменения вступили в силу.
Шаг 2. Создайте политику на контроллерах домена, чтобы задать параметр "Настройка целевого диспетчера подписок".
Примечание.
Вы можете создать групповую политику для этих параметров и применить групповую политику к каждому контроллеру домена, отслеживаемого шлюзом ATA. Приведенные ниже действия изменяют локальную политику контроллера домена.
Выполните следующую команду на каждом контроллере домена: быстрая настройка winrm
Из командной строки типа gpedit.msc.
Разверните административные шаблоны конфигурации > компьютеров > > , переадресация событий компонентов Windows
Дважды щелкните "Настройка целевого диспетчера подписок".
Щелкните Включено.
В разделе "Параметры" выберите "Показать".
В разделе SubscriptionManagers введите следующее значение и нажмите кнопку ОК:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(Например: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)Нажмите ОК.
Из командной строки с повышенными привилегиями типа gpupdate /force.
Шаг 3. Выполните следующие действия в шлюзе ATA
Откройте командную строку с повышенными привилегиями и введите wecutil qc
Откройте Средство просмотра событий.
Щелкните правой кнопкой мыши подписки и выберите "Создать подписку".
Введите имя и описание подписки.
Для журнала назначения убедитесь, что выбран параметр "Перенаправленные события ". Чтобы ATA считывала события, журнал назначения должен быть переадресован.
Выберите исходный компьютер, инициированный и выберите " Выбрать группы компьютеров".
- Выберите " Добавить доменный компьютер".
- Введите имя контроллера домена в поле "Ввод имени объекта" для выбора поля. Затем нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".
- Нажмите ОК.
Выберите " Выбрать события".
- Выберите "По журналам " и выберите "Безопасность".
- В поле "Включаемые и исключения идентификатора события" введите номер события и нажмите кнопку "ОК". Например, введите 4776, как показано в следующем примере.
Щелкните правой кнопкой мыши созданную подписку и выберите состояние среды выполнения, чтобы узнать, возникли ли проблемы с состоянием.
Через несколько минут проверьте, отображаются ли события, которые будут переадресованы в шлюзе ATA.
Дополнительные сведения см. в статье "Настройка компьютеров для пересылки и сбора событий"