Настройка коллекции событий Windows

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

Примечание.

Для ATA версии 1.8 и выше конфигурация сбора событий больше не требуется для упрощенных шлюзов ATA. Упрощенный шлюз ATA теперь считывает события локально без необходимости настраивать перенаправление событий.

Чтобы улучшить возможности обнаружения, ATA требует следующих событий Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Они могут быть автоматически считываются упрощенным шлюзом ATA или в случае, если упрощенный шлюз ATA не развернут, его можно перенаправить в шлюз ATA одним из двух способов, настроив шлюз ATA для прослушивания событий SIEM или путем настройки пересылки событий Windows.

Примечание.

Если вы используете серверную ядро, wecutil можно использовать для создания подписок на события, перенаправленные с удаленных компьютеров, и управлять ими.

Конфигурация WEF для шлюза ATA с портом зеркало

После настройки портов зеркало с контроллеров домена на шлюз ATA выполните следующие инструкции, чтобы настроить перенаправление событий Windows с помощью конфигурации, инициированной источником. Это один из способов настройки перенаправления событий Windows.

Шаг 1. Добавьте учетную запись сетевой службы в группу читателей журналов событий домена.

В этом сценарии предположим, что шлюз ATA является членом домена.

  1. Откройте Пользователи и компьютеры Active Directory, перейдите в папку BuiltIn и дважды щелкните читатели журналов событий.
  2. Выберите Участники.
  3. Если сетевая служба не указана, выберите "Добавить", введите "Сетевая служба" в поле "Ввод имен объектов" для выбора поля. Затем нажмите кнопку "Проверить имена" и дважды нажмите кнопку "ОК ".

После добавления сетевой службы в группу читателей журналов событий перезагрузите контроллеры домена, чтобы изменения вступили в силу.

Шаг 2. Создайте политику на контроллерах домена, чтобы задать параметр "Настройка целевого диспетчера подписок".

Примечание.

Вы можете создать групповую политику для этих параметров и применить групповую политику к каждому контроллеру домена, отслеживаемого шлюзом ATA. Приведенные ниже действия изменяют локальную политику контроллера домена.

  1. Выполните следующую команду на каждом контроллере домена: быстрая настройка winrm

  2. Из командной строки типа gpedit.msc.

  3. Развертывание конфигурации > компьютера Администратор istrative templates > Windows Components Components > Event Forwarding

    Local policy group editor image.

  4. Дважды щелкните "Настройка целевого диспетчера подписок".

    1. Щелкните Включено.

    2. В разделе "Параметры" выберите "Показать".

    3. В разделе SubscriptionManagers введите следующее значение и нажмите кнопку ОК: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Например: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Нажмите ОК.

    5. Из командной строки с повышенными привилегиями типа gpupdate /force.

Шаг 3. Выполните следующие действия в шлюзе ATA

  1. Откройте командную строку с повышенными привилегиями и введите wecutil qc

  2. Откройте Средство просмотра событий.

  3. Щелкните правой кнопкой мыши подписки и выберите "Создать подписку".

    1. Введите имя и описание подписки.

    2. Для журнала назначения убедитесь, что выбран параметр "Перенаправленные события ". Чтобы ATA считывала события, журнал назначения должен быть переадресован.

    3. Выберите исходный компьютер, инициированный и выберите " Выбрать группы компьютеров".

      1. Выберите " Добавить доменный компьютер".
      2. Введите имя контроллера домена в поле "Ввод имени объекта" для выбора поля. Затем нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".
        Event Viewer image.
      3. Нажмите ОК.

    4. Выберите " Выбрать события".

      1. Выберите "По журналам " и выберите "Безопасность".
      2. В поле "Включаемые и исключения идентификатора события" введите номер события и нажмите кнопку "ОК". Например, введите 4776, как показано в следующем примере.

      Query filter image.

    5. Щелкните правой кнопкой мыши созданную подписку и выберите состояние среды выполнения, чтобы узнать, возникли ли проблемы с состоянием.

    6. Через несколько минут проверка, чтобы увидеть, что события, настроенные для пересылки, отображаются в переадресации событий в шлюзе ATA.

Дополнительные сведения см. в статье "Настройка компьютеров для пересылки и сбора событий"

См. также