設定 Windows 事件集合

適用於：進階威脅分析 1.9 版

注意

針對 ATA 1.8 版和更新版本，ATA 輕量型閘道不再需要事件收集組態。 ATA 輕量型閘道現在會在本機讀取事件，而不需要設定事件轉送。

為了增強偵測功能，ATA 需要下列 Windows 事件：4776、4732、4733、4728、4729、4756、4757、7045。 這些可由 ATA 輕量型閘道自動讀取，或如果未部署 ATA 輕量型閘道，則可以透過下列兩種方式之一，將 ATA 閘道設定為接聽 SIEM 事件或設定 Windows 事件轉送，將其轉送至 ATA 閘道。

注意

如果您使用 Server Core，wecutil 可用來建立和管理從遠端電腦轉送之事件的訂用帳戶。

ATA 閘道的 WEF 設定與埠鏡像

設定從域控制器到 ATA 閘道的埠鏡像之後，請使用下列指示，使用來源起始的設定來設定 Windows 事件轉送。 這是設定 Windows 事件轉送的其中一種方式。

步驟 1：將網路服務帳戶新增至網域事件記錄讀取器群組。

在此案例中，假設 ATA 閘道是網域的成員。

1. 開啟 Active Directory 使用者和電腦，流覽至 BuiltIn 資料夾，然後按兩下 [事件記錄檔讀取器]。
2. 選取 [成員]。
3. 如果未列出網路服務，請選取 [新增]，在 [輸入要選取的物件名稱] 欄位中輸入網路服務。 然後選取 [ 檢查名稱 ]，然後選取 [確定 ] 兩次。

將 網路服務 新增至 事件記錄讀取器 群組之後，請重新啟動域控制器，讓變更生效。

步驟 2：在域控制器上建立原則，以設定目標訂用帳戶管理員設定。

注意

您可以建立這些設定的組策略，並將組策略套用至 ATA 閘道所監視的每個域控制器。 下列步驟會修改域控制器的本機原則。

1. 在每個域控制器上執行下列命令： winrm quickconfig

2. 從命令提示字元輸入 gpedit.msc。

3. 展開 [計算機設定 > 系統管理範本 > ] [Windows 元件 > ] 事件轉送

   

4. 按兩下 [ 設定目標訂用帳戶管理員]。

   1. 選取 [啟用] 。

   2. 在 [選項] 底下，選取 [顯示]。

   3. 在 [SubscriptionManagers] 下，輸入下列值，然後選取 [確定]：Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      （例如：Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10）

      

   4. 選取 [確定]。

   5. 從提升許可權的命令提示字元輸入 gpupdate /force。

步驟 3：在 ATA 閘道上執行下列步驟

1. 開啟提升許可權的命令提示字元，然後輸入 wecutil qc

2. 開啟 [事件檢視器]。

3. 以滑鼠右鍵按兩下 [ 訂用帳戶 ]，然後選取 [ 建立訂用帳戶]。

   1. 輸入訂用帳戶的名稱和描述。

   2. 針對 [ 目的地記錄檔]，確認已 選取 [轉送的事件 ]。 若要讓 ATA 讀取事件，目的地記錄必須是 轉送事件。

   3. 選取 [起始 的來源計算機]，然後選擇 [ 選取計算機群組]。

      1. 選取 [ 新增網域計算機]。
      2. 在 [輸入要選取的物件名稱] 字段中，輸入域控制器的名稱。 然後選取 [ 檢查名稱 ]，然後選取 [ 確定]。
         
      3. 選取 [確定]。

   4. 選取 [ 選取事件]。

      1. 選取 [ 依記錄 檔]，然後選取 [ 安全性]。
      2. 在 [ 包含/排除事件標識符 ] 字段中輸入事件號碼，然後選取 [ 確定]。 例如，輸入 4776，如下列範例所示。

      

   5. 以滑鼠右鍵按兩下已建立的訂用帳戶，然後選取[ 運行時間狀態 ]，以查看狀態是否有任何問題。

   6. 幾分鐘后，請檢查您設定為轉送的事件是否顯示在 ATA 閘道上的轉送事件中。

如需詳細資訊，請參閱： 設定計算機轉送和收集事件

另請參閱

• 安裝 ATA
• 查看 ATA 論壇！