Configuração do encaminhamento de eventos do WindowsConfiguring Windows Event Forwarding

Aplica-se a: Advanced Threat Analytics versão 1.9Applies to: Advanced Threat Analytics version 1.9

Observação

Para as versões 1.8 e mais recentes do ATA, a configuração de coleta de eventos não é mais necessária para Gateways Lightweight do ATA.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. O Gateway Lightweight do ATA realiza a leitura de eventos localmente, sem a necessidade de configurar o encaminhamento de eventos.The ATA Lightweight Gateway now read events locally, without the need to configure event forwarding.

Para aprimorar as funcionalidades de detecção, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757 e 7045.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Eles podem ser lidos automaticamente pelo Gateway Lightweight do ATA ou no caso de o Gateway Lightweight do ATA não estar implantado, podem ser encaminhados para o Gateway do ATA de duas maneiras: configurando o Gateway do ATA para escutar os eventos do SIEM ou configurando o Encaminhamento de Eventos do Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

Observação

Se você estiver usando o Server Core, o wecutil poderá ser usado para criar e gerenciar assinaturas de eventos que são encaminhados de computadores remotos.If you are using Server Core, wecutil can be used to create and manage subscriptions to events that are forwarded from remote computers.

Configuração de WEF para Gateway do ATA com o espelhamento de portaWEF configuration for ATA Gateway's with port mirroring

Após a configuração do espelhamento de porta dos controladores de domínio para o Gateway do ATA, siga as instruções a seguir para configurar o Encaminhamento de Eventos do Windows usando a configuração Iniciada pela Origem.After configuring port mirroring from the domain controllers to the ATA Gateway, use the following instructions to configure Windows Event forwarding using Source Initiated configuration. Essa é uma maneira para configurar o Encaminhamento de eventos do Windows.This is one way to configure Windows Event forwarding.

Etapa 1: Adicionar a conta de serviço de rede ao Grupo de Leitores de Log de Eventos do domínio.Step 1: Add the network service account to the domain Event Log Readers Group.

Neste cenário, supomos que o Gateway ATA seja membro do domínio.In this scenario, assume that the ATA Gateway is a member of the domain.

  1. Abra os Usuários e Computadores do Active Directory, navegue até a pasta BuiltIn e clique duas vezes em Leitores de Log de Eventos.Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
  2. Selecione Membros.Select Members.
  3. Se Serviço de Rede não estiver listado, clique em Adicionar, digite Serviço de Rede no campo Digite os nomes de objeto a serem selecionados .If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Depois, clique em Verificar Nomes e clique em OK duas vezes.Then click Check Names and click OK twice.

Após adicionar o Serviço de Rede ao grupo Leitores de Log de Eventos, reinicie os controladores de domínio para que a alteração tenha efeito.After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

Etapa 2: Criar uma política nos controladores de domínio para definir a configuração Configurar Gerenciador de Assinaturas de destino.Step 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Observação

Você pode criar uma política de grupo para essas configurações e aplicá-la a cada controlador de domínio monitorado pelo Gateway do ATA.You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. As etapas a seguir modificarão a política local do controlador de domínio.The steps below modify the local policy of the domain controller.

  1. Execute o seguinte comando em cada controlador de domínio: winrm quickconfigRun the following command on each domain controller: winrm quickconfig

  2. Em um prompt de comando, digite gpedit.msc.From a command prompt type gpedit.msc.

  3. Expanda Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encaminhamento de EventoExpand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

    Imagem do editor de grupo de política local

  4. Clique duas vezes em Configurar Gerenciador de assinatura de destino.Double-click Configure target Subscription Manager.

    1. Selecione Habilitado.Select Enabled.

    2. Em Opções, clique em Mostrar.Under Options, click Show.

    3. Em SubscriptionManagers, digite o seguinte valor e clique em OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10Under SubscriptionManagers, enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Por exemplo: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)(For example: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Configurar a imagem de assinatura de destino

    4. Clique em OK.Click OK.

    5. Em um prompt de comandos com privilégios elevados, digite gpupdate /force.From an elevated command prompt type gpupdate /force.

Etapa 3: Executar as seguintes etapas no Gateway do ATAStep 3: Perform the following steps on the ATA Gateway

  1. Em um prompt de comandos com privilégios elevados, digite wecutil qcOpen an elevated command prompt and type wecutil qc

  2. Abra o Visualizador de Eventos.Open Event Viewer.

  3. Clique com o botão direito do mouse em Assinaturas e selecione Criar Assinatura.Right-click Subscriptions and select Create Subscription.

    1. Insira um nome e uma descrição para a assinatura.Enter a name and description for the subscription.

    2. Para Log de Destino confirme se Eventos Encaminhados está selecionado.For Destination Log, confirm that Forwarded Events is selected. Para o ATA ler os eventos, o log de destino deve ser Eventos Encaminhados.For ATA to read the events, the destination log must be Forwarded Events.

    3. Selecione Iniciado pelo computador de origem e clique em Selecionar Grupos de Computadores.Select Source computer initiated and click Select Computers Groups.

      1. Clique em Adicionar Computador do Domínio.Click Add Domain Computer.
      2. Insira o nome do controlador de domínio no campo Digite o nome do objeto a ser selecionado.Enter the name of the domain controller in the Enter the object name to select field. Depois, clique em Verificar Nomes e clique em OK.Then click Check Names and click OK.
        Imagem do Visualizador de EventosEvent Viewer image
      3. Clique em OK.Click OK.
    4. Clique em Selecionar Eventos.Click Select Events.

      1. Clique em Pelo log e selecione Segurança.Click By log and select Security.
      2. No campo Inclui/Exclui ID do Evento, digite o número do evento e clique em OK.In the Includes/Excludes Event ID field type the event number and click OK. Por exemplo, digite 4776, conforme no exemplo a seguir.For example, type 4776, like in the following sample.

      Imagem do filtro de consulta

    5. Clique com o botão direito do mouse na assinatura criada e selecione Status de Runtime para verificar se há problemas com o status.Right-click the created subscription and select Runtime Status to see if there are any issues with the status.

    6. Depois de alguns minutos, verifique se os eventos definidos para serem encaminhados aparecem nos Eventos Encaminhados no Gateway do ATA.After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

Para saber mais, confira: Configurar computadores para encaminhar e coletar eventosFor more information, see: Configure the computers to forward and collect events

Confira TambémSee Also