Configurar a coleta de eventos do Windows

  • Artigo

Aplica-se a: Advanced Threat Analytics versão 1.9

Observação

Para as versões 1.8 e superiores do ATA, a configuração da coleta de eventos não é mais necessária para os ATA Lightweight Gateways. O ATA Lightweight Gateway agora lê eventos localmente, sem a necessidade de configurar o encaminhamento de eventos.

Para aprimorar os recursos de detecção, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Eles podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não seja implantado, ele pode ser encaminhado para o ATA Gateway de uma de duas maneiras, configurando o ATA Gateway para escutar eventos SIEM ou configurando o Windows Event Forwarding.

Observação

Se você estiver usando o Server Core, o wecutil pode ser usado para criar e gerenciar assinaturas de eventos que são encaminhados de computadores remotos.

Configuração do WEF para ATA Gateways com espelhamento de porta

Depois de configurar o espelhamento de porta dos controladores de domínio para o ATA Gateway, use as instruções a seguir para configurar o Windows Event Forwarding usando a configuração Source Initiated. Essa é uma maneira de configurar o Windows Event Forwarding.

Etapa 1: adicionar a conta de serviço de rede ao Grupo de Leitores de Log de Eventos do domínio.

Nesse cenário, suponha que o ATA Gateway seja um membro do domínio.

  1. Abra Usuários e Computadores do Active Directory, navegue até a pasta BuiltIn e clique duas vezes em Leitores de log de eventos.
  2. Selecione Membros.
  3. Se Serviço de Rede não estiver listado, selecione Adicionar e digite Serviço de Rede no campo Digite os nomes de objeto a serem selecionados. Depois selecione Verificar Nomes e, em seguida, OK duas vezes.

Depois de adicionar o Serviço de Rede ao grupo Leitores de log de eventos, reinicialize os controladores de domínio para que a alteração entre em vigor.

Etapa 2: criar uma política nos controladores de domínio para definir a opção Configurar gerenciador de assinaturas de destino.

Observação

Você pode criar uma política de grupo para essas configurações e aplicar a política de grupo a cada controlador de domínio monitorado pelo ATA Gateway. As etapas a seguir modificam a política local do controlador de domínio.

  1. Execute o seguinte comando em cada controlador de domínio: winrm quickconfig

  2. No prompt de comando, digite gpedit.msc.

  3. Expanda Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encaminhamento de Eventos

    Local policy group editor image.

  4. Clique duas vezes em Configurar gerenciador de assinaturas de destino.

    1. Selecione Habilitado.

    2. Em Opções, selecione Mostrar.

    3. Em SubscriptionManagers, insira o seguinte valor e selecione OK:Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Por exemplo: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configure target subscription image.

    4. Selecione OK.

    5. Abra um prompt de comando com privilégios elevados e digite gpupdate /force.

Etapa 3: Execute as seguintes etapas no ATA Gateway

  1. Abra um prompt de comando com privilégios elevados e digite wecutil qc

  2. Abra o Visualizador de Eventos.

  3. Clique com o botão direito do mouse em Assinaturas e selecione Criar assinatura.

    1. Insira um nome e uma descrição para a assinatura.

    2. Em Log de destino, confirme se Eventos encaminhados está selecionado. Para que o ATA leia os eventos, o log de destino deve ser Eventos encaminhados.

    3. Selecione Computador de origem iniciado e, em seguida, escolha Selecionar grupos de computadores.

      1. Selecione Adicionar computador do domínio.
      2. Digite o nome do controlador de domínio no campo Digite o nome do objeto a ser selecionado. Depois selecione Verificar nomes e, em seguida, OK.
        Event Viewer image.
      3. Selecione OK.

    4. Selecione Selecionar eventos.

      1. Selecione Por log e, em seguida, Segurança.
      2. No campo Inclui/exclui ID do evento, digite o número do evento e selecione OK. Por exemplo, digite 4776, como no exemplo a seguir.

      Query filter image.

    5. Clique com o botão direito do mouse na assinatura criada e selecione Status em tempo de execução para ver se há algum problema com o status.

    6. Depois de alguns minutos, verifique se os eventos definidos para serem encaminhados estão aparecendo nos Eventos Encaminhados no ATA Gateway.

Para obter mais informações, consulte Configurar computadores para encaminhar e coletar eventos.

Confira também