Windows イベント転送を構成するConfiguring Windows Event Forwarding

適用対象: Advanced Threat Analytics バージョン 1.9Applies to: Advanced Threat Analytics version 1.9

注意

ATA バージョン 1.8 以降では、イベント コレクションの構成は ATA ライトウェイト ゲートウェイに必要ありません。For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. ATA ライトウェイト ゲートウェイはイベントをローカルで読み込めるようになりました。イベント転送を設定する必要はありません。The ATA Lightweight Gateway now read events locally, without the need to configure event forwarding.

ATA では、検出機能の強化のために、Windows イベント 4776、4732、4733、4728、4729、4756、4757、7045 が必要になります。To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. これは、ATA ライトウェイト ゲートウェイによって自動的に読み取ることができます。また、ATA ライトウェイト ゲートウェイが展開されていない場合は、SIEM イベントをリッスンするように ATA ゲートウェイを構成するか、Windows イベント転送を構成することによって、ATA ゲートウェイに転送できます。These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

注意

Server Core を使用している場合は、wecutil を使用して、リモート コンピューターから転送されるイベントのサブスクリプションを作成して管理することができます。If you are using Server Core, wecutil can be used to create and manage subscriptions to events that are forwarded from remote computers.

ポート ミラーリングによる ATA ゲートウェイの WEF 構成WEF configuration for ATA Gateway's with port mirroring

ドメイン コントローラーから ATA ゲートウェイにポート ミラーリングを構成した後は、次の手順に従い、[ソースによる開始] 構成を使用して Windows イベント転送を構成します。After configuring port mirroring from the domain controllers to the ATA Gateway, use the following instructions to configure Windows Event forwarding using Source Initiated configuration. これは、Windows イベント転送を構成する 1 つの方法です。This is one way to configure Windows Event forwarding.

手順 1: ネットワーク サービス アカウントを Event Log Readers グループに追加するStep 1: Add the network service account to the domain Event Log Readers Group.

このシナリオでは、ATA ゲートウェイはドメインのメンバーであると想定しています。In this scenario, assume that the ATA Gateway is a member of the domain.

  1. [Active Directory ユーザーとコンピューター] の [Builtin] フォルダーに移動して、 [Event Log Readers] グループをダブルクリックします。Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
  2. [メンバー] を選択します。Select Members.
  3. [Network Service] が一覧にない場合は、 [追加] をクリックして、 [選択するオブジェクト名を入力してください] フィールドに「Network Service」と入力します。If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. 次に、 [名前の確認] をクリックし、 [OK] を 2 回クリックします。Then click Check Names and click OK twice.

Network ServiceEvent Log Readers グループに追加した後、変更を反映するためにドメイン コントローラーを再起動します。After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

手順 2: [ターゲット サブスクリプション マネージャーを構成する] 設定を設定するドメイン コントローラーのポリシーを作成するStep 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

注意

これらの設定のグループ ポリシーを作成し、ATA ゲートウェイによって監視される各ドメイン コントローラーに適用することができます。You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. 次の手順では、ドメイン コントローラーのローカル ポリシーを変更します。The steps below modify the local policy of the domain controller.

  1. 各ドメイン コントローラーで、次のコマンドを実行します。winrm quickconfigRun the following command on each domain controller: winrm quickconfig

  2. コマンド プロンプトから「gpedit.msc」と入力します。From a command prompt type gpedit.msc.

  3. [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [イベント転送] の順に展開します。Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

    ローカル ポリシー グループ エディターの画像

  4. [Configure target Subscription Manager (ターゲット サブスクリプション マネージャーの構成)] をダブルクリックします。Double-click Configure target Subscription Manager.

    1. [有効] をクリックします。Select Enabled.

    2. [オプション] の下の [表示] をクリックします。Under Options, click Show.

    3. [SubscriptionManagers] に次の値を入力し、 [OK] をクリックします。Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10Under SubscriptionManagers, enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)(For example: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      [ターゲット サブスクリプションの構成] の画像

    4. [OK] をクリックすると、Click OK.

    5. 管理者特権でのコマンド プロンプトから「gpupdate /force」と入力します。From an elevated command prompt type gpupdate /force.

手順 3: ATA ゲートウェイで次の手順を実行するStep 3: Perform the following steps on the ATA Gateway

  1. 管理者特権でのコマンド プロンプトを開き、「wecutil qc」と入力します。Open an elevated command prompt and type wecutil qc

  2. イベント ビューアーを開きます。Open Event Viewer.

  3. [サブスクリプション] を右クリックして、 [サブスクリプションの作成] を選択します。Right-click Subscriptions and select Create Subscription.

    1. サブスクリプションの名前と説明を入力します。Enter a name and description for the subscription.

    2. [宛先ログ][転送されたイベント] が選択されていることを確認します。For Destination Log, confirm that Forwarded Events is selected. ATA でイベントを読み取るには、[宛先ログ] を [転送されたイベント] にする必要があります。For ATA to read the events, the destination log must be Forwarded Events.

    3. [ソース コンピューターによる開始] を選択して、 [Select Computers Groups (コンピューター グループの選択)] をクリックします。Select Source computer initiated and click Select Computers Groups.

      1. [Add Domain Computer (ドメイン コンピューターの追加)] をクリックします。Click Add Domain Computer.
      2. [選択するオブジェクト名を入力してください] フィールドにドメイン コントローラーの名前を入力します。Enter the name of the domain controller in the Enter the object name to select field. 次に、 [名前の確認] をクリックし、 [OK] をクリックします。Then click Check Names and click OK.
        イベント ビューアーの画像Event Viewer image
      3. [OK] をクリックすると、Click OK.
    4. [イベントの選択] をクリックします。Click Select Events.

      1. [ログごと] をクリックして [セキュリティ] を選択します。Click By log and select Security.
      2. [Includes/Excludes Event ID](含める/除外するイベント ID) フィールドにイベント番号を入力し、 [OK] をクリックします。In the Includes/Excludes Event ID field type the event number and click OK. たとえば、次のサンプルのように「4776」と入力します。For example, type 4776, like in the following sample.

      クエリ フィルターの画像

    5. 作成されたサブスクリプションを右クリックし、 [ランタイムの状態] を選択して状態に問題がないか確認します。Right-click the created subscription and select Runtime Status to see if there are any issues with the status.

    6. 数分後、転送対象として設定したイベントが、ATA ゲートウェイの [転送されたイベント] に表示されていることを確認します。After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

詳しくは、「イベントを転送して収集するようコンピューターを構成する」をご覧ください。For more information, see: Configure the computers to forward and collect events

関連項目See Also