Konfigurowanie zbierania zdarzeń systemu Windows

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

Uwaga

W przypadku usługi ATA w wersji 1.8 lub nowszej konfiguracja zbierania zdarzeń nie jest już niezbędna dla uproszczonych bram usługi ATA. Uproszczona brama usługi ATA odczytuje teraz zdarzenia lokalnie bez konieczności konfigurowania przekazywania zdarzeń.

Aby zwiększyć możliwości wykrywania, usługa ATA potrzebuje następujących zdarzeń systemu Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Mogą one być odczytywane automatycznie przez uproszczoną bramę usługi ATA lub w przypadku, gdy uproszczona brama usługi ATA nie jest wdrożona, można przekazać ją do bramy usługi ATA na jeden z dwóch sposobów, konfigurując bramę usługi ATA do nasłuchiwania zdarzeń SIEM lub konfigurując przekazywanie zdarzeń systemu Windows.

Uwaga

Jeśli używasz serwera Server Core, za pomocą narzędzia Wecutil można tworzyć subskrypcje i zarządzać nimi dla zdarzeń przekazywanych z komputerów zdalnych.

Konfiguracja weF dla bramy usługi ATA z dublowaniem portów

Po skonfigurowaniu dublowania portów z kontrolerów domeny do bramy usługi ATA skorzystaj z poniższych instrukcji, aby skonfigurować przekazywanie zdarzeń systemu Windows przy użyciu konfiguracji zainicjowanej przez źródło. Jest to jeden ze sposobów konfigurowania przekazywania zdarzeń systemu Windows.

Krok 1. Dodaj konto usługi sieciowej do grupy czytelników dziennika zdarzeń domeny.

W tym scenariuszu przyjęto założenie, że brama usługi ATA jest członkiem domeny.

  1. Otwórz Użytkownicy i komputery usługi Active Directory, przejdź do folderu BuiltIn i kliknij dwukrotnie pozycję Czytelnicy dziennika zdarzeń.
  2. Wybierz pozycję Członkowie.
  3. Jeśli usługa sieciowa nie znajduje się na liście, wybierz pozycję Dodaj, wpisz wartość Usługa sieciowa w polu Wprowadź nazwy obiektów do wybrania . Następnie wybierz pozycję Sprawdź nazwy i dwukrotnie wybierz przycisk OK .

Po dodaniu usługi sieciowej do grupy Czytelnicy dziennika zdarzeń uruchom ponownie kontrolery domeny, aby zmiany zaczęły obowiązywać.

Krok 2. Tworzenie zasad na kontrolerach domeny w celu ustawienia Konfiguruj docelowego Menedżera subskrypcji.

Uwaga

Można utworzyć zasady grupy dla tych ustawień i zastosować zasady grupy do każdego kontrolera domeny monitorowanego przez bramę usługi ATA. Poniższe kroki modyfikują zasady lokalne kontrolera domeny.

  1. Uruchom następujące polecenie na każdym kontrolerze domeny: winrm quickconfig

  2. W wierszu polecenia wpisz gpedit.msc.

  3. Rozwiń węzeł Konfiguracja > komputera Administracja szablony > administracyjne Składniki > systemu Windows — przekazywanie zdarzeń

    Local policy group editor image.

  4. Kliknij dwukrotnie pozycję Konfiguruj docelowego Menedżera subskrypcji.

    1. Wybierz pozycję Włączone.

    2. W obszarze Opcje wybierz pozycję Pokaż.

    3. W obszarze SubscriptionManagers wprowadź następującą wartość i wybierz przycisk OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Na przykład: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Wybierz przycisk OK.

    5. W wierszu polecenia z podwyższonym poziomem uprawnień wpisz gpupdate /force.

Krok 3. Wykonaj następujące kroki w bramie usługi ATA

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz wecutil qc

  2. Otwórz Podgląd zdarzeń.

  3. Kliknij prawym przyciskiem myszy pozycję Subskrypcje i wybierz pozycję Utwórz subskrypcję.

    1. Wprowadź nazwę i opis subskrypcji.

    2. W obszarze Dziennik docelowy upewnij się, że wybrano opcję Zdarzenia przekazane. Aby usługa ATA odczytywała zdarzenia, dziennik docelowy musi mieć wartość Zdarzenia przekazywane.

    3. Wybierz pozycję Zainicjowano komputer źródłowy, a następnie wybierz pozycję Wybierz grupy komputerów.

      1. Wybierz pozycję Dodaj komputer domeny.
      2. Wprowadź nazwę kontrolera domeny w polu Wprowadź nazwę obiektu do wybrania . Następnie wybierz pozycję Sprawdź nazwy i wybierz przycisk OK.
        Event Viewer image.
      3. Wybierz przycisk OK.

    4. Wybierz pozycję Wybierz zdarzenia.

      1. Wybierz pozycję Według dziennika i wybierz pozycję Zabezpieczenia.
      2. W polu Dołączanie/Wyklucza identyfikator zdarzenia wpisz numer zdarzenia i wybierz przycisk OK. Na przykład wpisz 4776, jak w poniższym przykładzie.

      Query filter image.

    5. Kliknij prawym przyciskiem myszy utworzoną subskrypcję i wybierz pozycję Stan środowiska uruchomieniowego, aby sprawdzić, czy występują problemy ze stanem.

    6. Po kilku minutach sprawdź, czy zdarzenia, które mają być przekazywane, są wyświetlane w zdarzeniach przekazanych w bramie usługi ATA.

Aby uzyskać więcej informacji, zobacz: Konfigurowanie komputerów do przekazywania i zbierania zdarzeń

Zobacz też