Configuration du transfert d’événements WindowsConfiguring Windows Event Forwarding

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Notes

Pour les versions 1.8 et ultérieures d’ATA, la configuration de la collecte d’événements n’est plus nécessaire pour les passerelles légères ATA.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. La passerelle légère ATA lit désormais les événements localement, sans qu’il soit nécessaire de configurer le transfert d’événements.The ATA Lightweight Gateway now read events locally, without the need to configure event forwarding.

Pour améliorer les capacités de détection, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757 et 7045.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Ils peuvent être lus automatiquement par la passerelle légère ATA ou, si la passerelle légère ATA n’est pas déployée, ils peuvent être transférés à la passerelle ATA de deux manières : en configurant la passerelle ATA afin qu’elle reste à l’écoute des événements SIEM ou en configurant le transfert d’événements Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

Notes

Si vous n’utilisez pas Server Core, wecutil peut être utilisé pour créer et gérer des abonnements aux événements qui sont transférés à partir d’ordinateurs distants.If you are using Server Core, wecutil can be used to create and manage subscriptions to events that are forwarded from remote computers.

Configuration WEF pour la passerelle ATA avec mise en miroir de portsWEF configuration for ATA Gateway's with port mirroring

Après avoir configuré la mise en miroir des ports depuis les contrôleurs de domaine sur la passerelle ATA, utilisez les instructions ci-dessous pour configurer les transferts d’événements Windows à l’aide de la configuration Initialisation par la source.After configuring port mirroring from the domain controllers to the ATA Gateway, use the following instructions to configure Windows Event forwarding using Source Initiated configuration. Il s’agit de l’une des façons de configurer Windows Event Forwarding.This is one way to configure Windows Event forwarding.

Étape 1 : Ajouter le compte de service réseau au groupe Lecteurs du journal des événements de domaineStep 1: Add the network service account to the domain Event Log Readers Group.

Dans ce scénario, nous partons du principe que la passerelle ATA est un membre du domaine.In this scenario, assume that the ATA Gateway is a member of the domain.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory, accédez au dossier BuiltIn et double-cliquez sur Lecteurs des journaux d’événements.Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
  2. Sélectionnez Membres.Select Members.
  3. Si Service réseau ne figure pas dans la liste, cliquez sur Ajouter et tapez Service réseau dans le champ Entrez les noms d’objets à sélectionner.If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Ensuite, cliquez sur Vérifier les noms et cliquez deux fois sur OK.Then click Check Names and click OK twice.

Après avoir ajouté le Service réseau au groupe Lecteurs des journaux d’événements, redémarrez les contrôleurs de domaine pour que la modification prenne effet.After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

Étape 2 : Créer une stratégie sur les contrôleurs de domaine pour définir le paramètre Configurer le gestionnaire d’abonnements cibleStep 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Notes

Vous pouvez créer une stratégie de groupe pour ces paramètres et appliquer la stratégie de groupe à chaque contrôleur de domaine surveillé par la passerelle ATA.You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. Les étapes ci-dessous modifient la stratégie locale du contrôleur de domaine.The steps below modify the local policy of the domain controller.

  1. Exécutez la commande suivante sur chaque contrôleur de domaine : winrm quickconfigRun the following command on each domain controller: winrm quickconfig

  2. Sur la ligne de commande, tapez gpedit.msc.From a command prompt type gpedit.msc.

  3. Développez Configuration ordinateur > Modèles d’administration > Composants Windows > Transfert d’événements.Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

    Image de l’éditeur de groupe de stratégie locale

  4. Double-cliquez sur Configurer le Gestionnaire d’abonnements cible.Double-click Configure target Subscription Manager.

    1. Sélectionnez Activé.Select Enabled.

    2. Sous Options, cliquez sur Afficher.Under Options, click Show.

    3. Sous SubscriptionManagers, entrez la valeur suivante et cliquez sur OK : Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10Under SubscriptionManagers, enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (par exemple : Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)(For example: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configurer l’image d’abonnement cible

    4. Cliquez sur OK.Click OK.

    5. À partir d’une invite de commandes avec élévation de privilèges, tapez gpupdate /force.From an elevated command prompt type gpupdate /force.

Étape 3 : Effectuer les opérations suivantes sur la passerelle ATAStep 3: Perform the following steps on the ATA Gateway

  1. Ouvrez une invite de commandes avec élévation de privilèges et tapez wecutil qc.Open an elevated command prompt and type wecutil qc

  2. Ouvrez l’Observateur d’événements.Open Event Viewer.

  3. Cliquez avec le bouton droit sur Abonnements et sélectionnez Créer un abonnement.Right-click Subscriptions and select Create Subscription.

    1. Entrez un nom et une description pour l’abonnement.Enter a name and description for the subscription.

    2. Pour Journal de destination, vérifiez que Événements transférés est sélectionné.For Destination Log, confirm that Forwarded Events is selected. Pour qu’ATA lise les événements, le journal de destination doit être Événements transférés.For ATA to read the events, the destination log must be Forwarded Events.

    3. Sélectionnez Initialisation par l’ordinateur source et cliquez sur Sélectionner les groupes d’ordinateurs.Select Source computer initiated and click Select Computers Groups.

      1. Cliquez sur Ajouter un ordinateur de domaine.Click Add Domain Computer.
      2. Entrez le nom du contrôleur de domaine dans le champ Entrer le nom de l’objet à sélectionner.Enter the name of the domain controller in the Enter the object name to select field. Ensuite, cliquez sur Vérifier les noms, puis sur OK.Then click Check Names and click OK.
        Image de l’Observateur d’événementsEvent Viewer image
      3. Cliquez sur OK.Click OK.
    4. Cliquez sur Sélectionner des événements.Click Select Events.

      1. Cliquez sur Par journal et sélectionnez Sécurité.Click By log and select Security.
      2. Dans le champ Inclut/exclut l’ID d’événement, tapez le numéro d’événement puis cliquez sur OK.In the Includes/Excludes Event ID field type the event number and click OK. Par exemple, tapez 4776, comme dans l’exemple suivant.For example, type 4776, like in the following sample.

      Image de filtre de requête

    5. Cliquez avec le bouton droit sur l’abonnement créé et sélectionnez État d’exécution pour voir s’il existe des problèmes avec l’état.Right-click the created subscription and select Runtime Status to see if there are any issues with the status.

    6. Après quelques minutes, vérifiez que les événements que vous avez configurés pour être transférés apparaissent dans les événements transférés sur la passerelle ATA.After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

Pour plus d'informations, voir : Configurer les ordinateurs de façon à transférer et à recueillir les événementsFor more information, see: Configure the computers to forward and collect events

Voir aussiSee Also