Windows イベント転送を構成する

適用対象: Advanced Threat Analytics バージョン 1.9

注意

ATA バージョン 1.8 以降では、イベント コレクションの構成は ATA ライトウェイト ゲートウェイに必要ありません。 ATA ライトウェイト ゲートウェイはイベントをローカルで読み込めるようになりました。イベント転送を設定する必要はありません。

ATA では、検出機能の強化のために、Windows イベント 4776、4732、4733、4728、4729、4756、4757、7045 が必要になります。 これは、ATA ライトウェイト ゲートウェイによって自動的に読み取ることができます。また、ATA ライトウェイト ゲートウェイが展開されていない場合は、SIEM イベントをリッスンするように ATA ゲートウェイを構成するか、Windows イベント転送を構成することによって、ATA ゲートウェイに転送できます。

注意

Server Core を使用している場合は、wecutil を使用して、リモート コンピューターから転送されるイベントのサブスクリプションを作成して管理することができます。

ポート ミラーリングによる ATA ゲートウェイの WEF 構成

ドメイン コントローラーから ATA ゲートウェイにポート ミラーリングを構成した後は、次の手順に従い、[ソースによる開始] 構成を使用して Windows イベント転送を構成します。 これは、Windows イベント転送を構成する 1 つの方法です。

手順 1: ネットワーク サービス アカウントを Event Log Readers グループに追加する

このシナリオでは、ATA ゲートウェイはドメインのメンバーであると想定しています。

  1. [Active Directory ユーザーとコンピューター] の [Builtin] フォルダーに移動して、 [Event Log Readers] グループをダブルクリックします。
  2. [メンバー] を選択します。
  3. [Network Service] が一覧にない場合は、 [追加] をクリックして、 [選択するオブジェクト名を入力してください] フィールドに「Network Service」と入力します。 次に、 [名前の確認] をクリックし、 [OK] を 2 回クリックします。

Network ServiceEvent Log Readers グループに追加した後、変更を反映するためにドメイン コントローラーを再起動します。

手順 2: [ターゲット サブスクリプション マネージャーを構成する] 設定を設定するドメイン コントローラーのポリシーを作成する

注意

これらの設定のグループ ポリシーを作成し、ATA ゲートウェイによって監視される各ドメイン コントローラーに適用することができます。 次の手順では、ドメイン コントローラーのローカル ポリシーを変更します。

  1. 各ドメイン コントローラーで、次のコマンドを実行します。winrm quickconfig

  2. コマンド プロンプトから「gpedit.msc」と入力します。

  3. [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [イベント転送] の順に展開します。

    ローカルポリシーグループエディターイメージ。

  4. [Configure target Subscription Manager (ターゲット サブスクリプション マネージャーの構成)] をダブルクリックします。

    1. [有効] を選択します。

    2. [オプション] の下の [表示] をクリックします。

    3. [SubscriptionManagers] に次の値を入力し、[OK] をクリックします。Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      ターゲットサブスクリプションイメージを構成します。

    4. [OK] をクリックします。

    5. 管理者特権でのコマンド プロンプトから「gpupdate /force」と入力します。

手順 3: ATA ゲートウェイで次の手順を実行する

  1. 管理者特権でのコマンド プロンプトを開き、「wecutil qc」と入力します。

  2. イベント ビューアー を開きます。

  3. [サブスクリプション] を右クリックして、 [サブスクリプションの作成] を選択します。

    1. サブスクリプションの名前と説明を入力します。

    2. [宛先ログ][転送されたイベント] が選択されていることを確認します。 ATA でイベントを読み取るには、[宛先ログ] を [転送されたイベント] にする必要があります。

    3. [ソース コンピューターによる開始] を選択して、 [Select Computers Groups (コンピューター グループの選択)] をクリックします。

      1. [Add Domain Computer (ドメイン コンピューターの追加)] をクリックします。
      2. [選択するオブジェクト名を入力してください] フィールドにドメイン コントローラーの名前を入力します。 次に、 [名前の確認] をクリックし、 [OK] をクリックします。
        イベントビューアーイメージ。
      3. [OK] をクリックします。
    4. [イベントの選択] をクリックします。

      1. [ログごと] をクリックして [セキュリティ] を選択します。
      2. [Includes/Excludes Event ID](含める/除外するイベント ID) フィールドにイベント番号を入力し、 [OK] をクリックします。 たとえば、次のサンプルのように「4776」と入力します。

      クエリフィルターの画像。

    5. 作成されたサブスクリプションを右クリックし、 [ランタイムの状態] を選択して状態に問題がないか確認します。

    6. 数分後、転送対象として設定したイベントが、ATA ゲートウェイの [転送されたイベント] に表示されていることを確認します。

詳細については、次をご覧ください。イベントを転送して収集するようコンピューターを構成する

関連項目