Configurazione della raccolta di eventi di Windows

  • Articolo

Si applica a: Advanced Threat Analytics versione 1.9

Nota

Per ATA versioni 1.8 e successive, la configurazione della raccolta di eventi non è più necessaria per i gateway ATA Lightweight. Il gateway ATA Lightweight ora legge gli eventi in locale, senza la necessità di configurare l'inoltro degli eventi.

Per migliorare le funzionalità di rilevamento, ATA richiede gli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Queste operazioni possono essere lette automaticamente dal gateway ATA Lightweight o nel caso in cui il gateway ATA Lightweight non venga distribuito, può essere inoltrato al gateway ATA in uno dei due modi, configurando il gateway ATA per l'ascolto degli eventi SIEM o configurando l'inoltro eventi di Windows.

Nota

Se si usa Server Core, wecutil può essere usato per creare e gestire sottoscrizioni a eventi inoltrati da computer remoti.

Configurazione WEF per il gateway ATA con mirroring delle porte

Dopo aver configurato il mirroring delle porte dai controller di dominio al gateway ATA, usare le istruzioni seguenti per configurare l'inoltro di eventi di Windows usando la configurazione avviata dall'origine. Questo è un modo per configurare l'inoltro di eventi di Windows.

Passaggio 1: Aggiungere l'account del servizio di rete al gruppo lettori registro eventi di dominio.

In questo scenario si supponga che il gateway ATA sia un membro del dominio.

  1. Aprire Utenti e computer di Active Directory, passare alla cartella BuiltIn e fare doppio clic su Lettori registro eventi.
  2. Selezionare Membri.
  3. Se il servizio di rete non è elencato, selezionare Aggiungi, digitare Servizio di rete nel campo Immettere i nomi degli oggetti da selezionare. Selezionare quindi Controlla nomi e selezionare OK due volte.

Dopo aver aggiunto il servizio di rete al gruppo Lettori registro eventi, riavviare i controller di dominio per rendere effettiva la modifica.

Passaggio 2: Creare un criterio nei controller di dominio per impostare l'impostazione Configura Gestione sottoscrizioni di destinazione.

Nota

È possibile creare criteri di gruppo per queste impostazioni e applicare i criteri di gruppo a ogni controller di dominio monitorato dal gateway ATA. I passaggi seguenti modificano i criteri locali del controller di dominio.

  1. Eseguire il comando seguente in ogni controller di dominio: winrm quickconfig

  2. Da un prompt dei comandi digitare gpedit.msc.

  3. Espandere Configurazione > computer Amministrazione modelli amministrativi Inoltro > eventi componenti > di Windows

    Local policy group editor image.

  4. Fare doppio clic su Configura Gestione sottoscrizioni di destinazione.

    1. Selezionare Enabled.

    2. In Opzioni selezionare Mostra.

    3. In SubscriptionManagers immettere il valore seguente e selezionare OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Ad esempio: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Seleziona OK.

    5. Da un prompt dei comandi con privilegi elevati digitare gpupdate /force.

Passaggio 3: Eseguire i passaggi seguenti nel gateway ATA

  1. Aprire un prompt dei comandi con privilegi elevati e digitare wecutil qc

  2. Aprire il Visualizzatore eventi.

  3. Fare clic con il pulsante destro del mouse su Sottoscrizioni e selezionare Crea sottoscrizione.

    1. Immettere un nome e una descrizione per la sottoscrizione.

    2. Per Log di destinazione verificare che sia selezionata l'opzione Eventi inoltrati. Affinché ATA legga gli eventi, il log di destinazione deve essere Inoltrato Eventi.

    3. Selezionare Origine computer avviata e quindi selezionare Seleziona gruppi di computer.

      1. Selezionare Aggiungi computer di dominio.
      2. Immettere il nome del controller di dominio nel campo Immettere il nome dell'oggetto da selezionare . Selezionare quindi Controlla nomi e selezionare OK.
        Event Viewer image.
      3. Seleziona OK.

    4. Selezionare Seleziona eventi.

      1. Selezionare Per log e selezionare Sicurezza.
      2. Nel campo Include/Escludi ID evento digitare il numero di evento e selezionare OK. Ad esempio, digitare 4776, come nell'esempio seguente.

      Query filter image.

    5. Fare clic con il pulsante destro del mouse sulla sottoscrizione creata e selezionare Stato runtime per verificare se si verificano problemi con lo stato.

    6. Dopo alcuni minuti, verificare che gli eventi impostati per l'inoltro vengano visualizzati negli eventi inoltrati nel gateway ATA.

Per altre informazioni, vedere Configurare i computer per inoltrare e raccogliere eventi

Vedi anche