Windows Olay Koleksiyonunu Yapılandırma
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Dekont
ATA 1.8 ve üzeri sürümler için olay koleksiyonu yapılandırması artık ATA Lightweight Gateway'ler için gerekli değildir. ATA Lightweight Gateway artık olay iletmeyi yapılandırmaya gerek kalmadan olayları yerel olarak okuyor.
Algılama özelliklerini geliştirmek için ATA'nın şu Windows olaylarına ihtiyacı vardır: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Bunlar, ATA Lightweight Gateway tarafından otomatik olarak okunabilir veya ATA Lightweight Gateway'in dağıtılmaması durumunda, ATA Gateway'i SIEM olaylarını dinleyecek şekilde yapılandırarak veya Windows Olay İletme'yi yapılandırarak ATA Gateway'e iki yoldan biriyle iletilebilir.
Dekont
Sunucu Çekirdeği kullanıyorsanız, uzak bilgisayarlardan iletilen olaylara abonelik oluşturmak ve yönetmek için wecutil kullanılabilir.
BAĞLANTı noktası yansıtmalı ATA Gateway'ler için WEF yapılandırması
Etki alanı denetleyicilerinden ATA Gateway'e bağlantı noktası yansıtmayı yapılandırdıktan sonra, Kaynak Tarafından Başlatılan yapılandırmayı kullanarak Windows Olay iletmeyi yapılandırmak için aşağıdaki yönergeleri kullanın. Bu, Windows Olay iletmeyi yapılandırmanın bir yoludur.
1. Adım: Ağ hizmeti hesabını etki alanı Olay Günlüğü Okuyucuları Grubuna ekleyin.
Bu senaryoda, ATA Gateway'in etki alanının bir üyesi olduğunu varsayalım.
- Active Directory Kullanıcıları ve Bilgisayarları açın, BuiltIn klasörüne gidin ve Olay Günlüğü Okuyucuları'na çift tıklayın.
- Üyeler'i seçin.
- Ağ Hizmeti listede yoksa Ekle'yi seçin, Seçecek nesne adlarını girin alanına Ağ Hizmeti yazın. Ardından Adları Denetle'yi seçin ve iki kez Tamam'ı seçin.
Ağ Hizmeti'ni Olay Günlüğü Okuyucuları grubuna ekledikten sonra, değişikliğin etkili olması için etki alanı denetleyicilerini yeniden başlatın.
2. Adım: Hedef Abonelik Yöneticisini Yapılandır ayarını ayarlamak için etki alanı denetleyicilerinde bir ilke oluşturun.
Dekont
Bu ayarlar için bir grup ilkesi oluşturabilir ve grup ilkesini ATA Gateway tarafından izlenen her etki alanı denetleyicisine uygulayabilirsiniz. Aşağıdaki adımlar etki alanı denetleyicisinin yerel ilkesini değiştirir.
Her etki alanı denetleyicisinde aşağıdaki komutu çalıştırın: winrm quickconfig
Komut isteminden gpedit.msc yazın.
Bilgisayar Yapılandırması > Yönetici Istrative Şablonları > Windows Bileşenleri > Olay İletme'yi genişletin
Hedef Abonelik Yöneticisini Yapılandır'a çift tıklayın.
Etkin'i seçin.
Seçenekler'in altında Göster'i seçin.
SubscriptionManagers altında aşağıdaki değeri girin ve Tamam'ı seçin:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10(Örneğin: Server=
http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)
Tamam'ı seçin.
Yükseltilmiş bir komut isteminden gpupdate /force yazın.
3. Adım: ATA Gateway'de aşağıdaki adımları gerçekleştirin
Yükseltilmiş bir komut istemi açın ve wecutil qc yazın
Olay Görüntüleyicisi'ni açın.
Abonelikler'e sağ tıklayın ve Abonelik Oluştur'u seçin.
Abonelik için bir ad ve açıklama girin.
Hedef Günlük için İletilen Olaylar'ın seçili olduğunu onaylayın. ATA'nın olayları okuması için hedef günlüğün İletilen Olaylar olması gerekir.
Kaynak bilgisayar başlatıldı'yı ve ardından Bilgisayar Gruplarını Seç'i seçin.
- Etki Alanı Bilgisayarı Ekle'yi seçin.
- Seçecek nesne adını girin alanına etki alanı denetleyicisinin adını girin. Ardından Adları Denetle'yi ve ardından Tamam'ı seçin.
- Tamam'ı seçin.
Olayları Seç'i seçin.
- Günlüğe göre'yi ve güvenlik'i seçin.
- Olay Kimliğini Dahil Eder/Dışlar alanına olay numarasını yazın ve Tamam'ı seçin. Örneğin, aşağıdaki örnekte olduğu gibi 4776 yazın.
Oluşturulan aboneliğe sağ tıklayın ve durumla ilgili herhangi bir sorun olup olmadığını görmek için Çalışma Zamanı Durumu'nu seçin.
Birkaç dakika sonra, iletilecek şekilde ayarladığınız olayların ATA Gateway'deki İletilen Olaylar'da görüntülenip gösterilmediğini denetleyin.
Daha fazla bilgi için bkz. Bilgisayarları olayları iletecek ve toplayacak şekilde yapılandırma