設定 Windows 事件集合
適用於:進階威脅分析 1.9 版
注意
針對 ATA 1.8 版和更新版本,ATA 輕量型閘道不再需要事件收集組態。 ATA 輕量型閘道現在會在本機讀取事件,而不需要設定事件轉送。
為了增強偵測功能,ATA 需要下列 Windows 事件:4776、4732、4733、4728、4729、4756、4757、7045。 這些可由 ATA 輕量型閘道自動讀取,或如果未部署 ATA 輕量型閘道,則可以透過下列兩種方式之一,將 ATA 閘道設定為接聽 SIEM 事件或設定 Windows 事件轉送,將其轉送至 ATA 閘道。
ATA 閘道的 WEF 設定與埠鏡像
設定從域控制器到 ATA 閘道的埠鏡像之後,請使用下列指示,使用來源起始的設定來設定 Windows 事件轉送。 這是設定 Windows 事件轉送的其中一種方式。
步驟 1:將網路服務帳戶新增至網域事件記錄讀取器群組。
在此案例中,假設 ATA 閘道是網域的成員。
- 開啟 Active Directory 使用者和電腦,流覽至 BuiltIn 資料夾,然後按兩下 [事件記錄檔讀取器]。
- 選取 [成員]。
- 如果未列出網路服務,請選取 [新增],在 [輸入要選取的物件名稱] 欄位中輸入網路服務。 然後選取 [ 檢查名稱 ],然後選取 [確定 ] 兩次。
將 網路服務 新增至 事件記錄讀取器 群組之後,請重新啟動域控制器,讓變更生效。
步驟 2:在域控制器上建立原則,以設定目標訂用帳戶管理員設定。
注意
您可以建立這些設定的組策略,並將組策略套用至 ATA 閘道所監視的每個域控制器。 下列步驟會修改域控制器的本機原則。
在每個域控制器上執行下列命令: winrm quickconfig
從命令提示字元輸入 gpedit.msc。
展開 [計算機設定 > 系統管理範本 > ] [Windows 元件 > ] 事件轉送
按兩下 [ 設定目標訂用帳戶管理員]。
選取 [啟用] 。
在 [選項] 底下,選取 [顯示]。
在 [SubscriptionManagers] 下,輸入下列值,然後選取 [確定]:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(例如:Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)選取 [確定]。
從提升許可權的命令提示字元輸入 gpupdate /force。
步驟 3:在 ATA 閘道上執行下列步驟
開啟提升許可權的命令提示字元,然後輸入 wecutil qc
開啟 [事件檢視器]。
以滑鼠右鍵按兩下 [ 訂用帳戶 ],然後選取 [ 建立訂用帳戶]。
輸入訂用帳戶的名稱和描述。
針對 [ 目的地記錄檔],確認已 選取 [轉送的事件 ]。 若要讓 ATA 讀取事件,目的地記錄必須是 轉送事件。
選取 [起始 的來源計算機],然後選擇 [ 選取計算機群組]。
- 選取 [ 新增網域計算機]。
- 在 [輸入要選取的物件名稱] 字段中,輸入域控制器的名稱。 然後選取 [ 檢查名稱 ],然後選取 [ 確定]。
- 選取 [確定]。
選取 [ 選取事件]。
- 選取 [ 依記錄 檔],然後選取 [ 安全性]。
- 在 [ 包含/排除事件標識符 ] 字段中輸入事件號碼,然後選取 [ 確定]。 例如,輸入 4776,如下列範例所示。
以滑鼠右鍵按兩下已建立的訂用帳戶,然後選取[ 運行時間狀態 ],以查看狀態是否有任何問題。
幾分鐘后,請檢查您設定為轉送的事件是否顯示在 ATA 閘道上的轉送事件中。
如需詳細資訊,請參閱: 設定計算機轉送和收集事件