Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Configurazione dell'inoltro degli eventi di WindowsConfiguring Windows Event Forwarding

Nota

Per ATA 1.8 e versioni successive, la configurazione della raccolta eventi non è più necessaria per i gateway ATA Lightweight.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. Il gateway ATA Lightweight può ora leggere gli eventi in locale, senza che sia necessario configurare l'inoltro eventi.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.

Per migliorare le funzionalità di rilevamento, ATA necessita degli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Questi eventi possono essere letti automaticamente dal gateway ATA Lightweight o, nel caso in cui non sia distribuito, possono essere inoltrati al gateway ATA configurando il gateway ATA per l'ascolto degli eventi SIEM o tramite la configurazione dell'inoltro degli eventi di Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

Configurazione dell'inoltro degli eventi di Windows per gateway ATA con mirroring delle porteWEF configuration for ATA Gateway's with port mirroring

Dopo che è stato configurato il mirroring delle porte dai controller di dominio al gateway ATA, seguire le istruzioni seguenti per configurare l'inoltro degli eventi di Windows usando la configurazione Avviata dall'origine.After you configured port mirroring from the domain controllers to the ATA Gateway, follow the instructions below to configure Windows Event forwarding using Source Initiated configuration. Questa è una procedura per configurare l'inoltro degli eventi di Windows.This is one way to configure Windows Event forwarding.

Passaggio 1: Aggiungere l'account di servizio di rete al gruppo Lettori registri eventi del dominioStep 1: Add the network service account to the domain Event Log Readers Group.

In questo scenario si presuppone che il gateway ATA sia un membro del dominio.In this scenario we are assuming that the ATA Gateway is a member of the domain.

  1. Aprire Utenti e computer di Active Directory, passare alla cartella BuiltIn e fare doppio clic su Lettori registri eventi.Open Active Directory Users and Computers, navigate to the BuiltIn folder and double click Event Log Readers.
  2. Selezionare Membri.Select Members.
  3. Se Servizio di rete non è elencato, fare clic su Aggiungi e digitare Servizio di rete nel campo Immettere i nomi degli oggetti da selezionare.If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Fare clic su Controlla nomi e quindi su OK.Then click Check Names and click OK twice.

Si noti che dopo l'aggiunta di Servizio di rete al gruppo Lettori registri eventi è necessario riavviare i controller di dominio per rendere effettive le modifiche.Note that after adding the Network Service to the Event Log Readers group you need to reboot the domain controllers for the change to take effect.

Passaggio 2: Creare criteri nei controller di dominio per definire l'impostazione Configura gestore sottoscrizioni di destinazioneStep 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Nota

È possibile creare criteri di gruppo per queste impostazioni e applicare i criteri a ogni controller di dominio monitorato dal gateway ATA.You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. I passaggi seguenti consentono di modificare i criteri locali del controller di dominio.The steps below modify the local policy of the domain controller.

  1. Eseguire il comando seguente in ogni controller di dominio: winrm quickconfigRun the following command on each domain controller: winrm quickconfig
  2. Da un prompt dei comandi digitare gpedit.msc.From a command prompt type gpedit.msc.
  3. Espandere Configurazione computer > Modelli amministrativi > Componenti di Windows > Inoltro eventi.Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

    Immagine dell'Editor Criteri di gruppo locali

  4. Fare doppio clic su Configura gestore sottoscrizioni di destinazione.Double click Configure target Subscription Manager.

    1. Selezionare Abilitato.Select Enabled.
    2. In Opzioni fare clic su Mostra.Under Options click Show.
    3. In SubscriptionManagers immettere il valore seguente e fare clic su OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10 (ad esempio: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)Under SubscriptionManagers enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10 (For example: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

    Immagine della schermata per la configurazione della sottoscrizione di destinazione

    1. Fare clic su OK.Click OK.
    2. Da un tipo di prompt dei comandi con privilegi elevati digitare gpupdate /force.From an elevated command prompt type gpupdate /force.

Passaggio 3: Seguire questa procedura su ATA GatewayStep 3: Perform the following steps on the ATA Gateway

  1. Aprire un prompt dei comandi con privilegi elevati e digitare wecutil qcOpen an elevated command prompt and type wecutil qc
  2. Aprire Visualizzatore eventi.Open Event Viewer.
  3. Fare clic con il pulsante destro del mouse su Sottoscrizioni e scegliere Crea sottoscrizione.Right click Subscriptions and select Create Subscription.

    1. Immettere un nome e una descrizione per la sottoscrizione.Enter a name and description for the subscription.
    2. Per Registro di destinazione verificare che l'opzione Eventi inoltrati sia selezionata.For Destination Log confirm that Forwarded Events is selected. Per consentire ad ATA di leggere gli eventi, come registro di destinazione deve essere impostato Eventi inoltrati.For ATA to read the events, the destination log must be Forwarded Events.
    3. Selezionare Avviata dal computer di origine e fare clic su Seleziona gruppi di computer.Select Source computer initiated and click Select Computers Groups.

      1. Fare clic su Aggiungi computer del dominio.Click Add Domain Computer.
      2. Immettere il nome del controller di dominio nel campo Immettere i nomi degli oggetti da selezionare.Enter the name of the domain controller in the Enter the object name to select field. Fare quindi clic su Controlla nomi e infine su OK.Then click Check Names and click OK.

      Immagine del Visualizzatore eventi

      1. Fare clic su OK.Click OK.
    4. Fare clic su Seleziona eventi.Click Select Events.

      1. Fare clic su Per registro e selezionare Sicurezza.Click By log and select Security.
      2. Nel campo Includi/Escludi ID evento digitare il numero dell'evento e fare clic su OK.In the Includes/Excludes Event ID field type the event number and click OK.

    Immagine di Filtro query

    1. Fare clic con il pulsante destro del mouse sulla sottoscrizione creata e scegliere Stato di runtime per verificare se sono presenti problemi relativi allo stato.Right click the created subscription and select Runtime Status to see if there are any issues with the status.
    2. Dopo alcuni minuti, verificare che gli eventi per i quali è stato impostato l'inoltro siano visualizzati in Eventi inoltrati nel gateway ATA.After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

Per altre informazioni, vedere Configurare i computer per l'inoltro e la raccolta di eventiFor more information see: Configure the computers to forward and collect events

Vedere ancheSee Also