配置 Windows 事件收集
适用于:高级威胁分析版本 1.9
注意
对于 ATA 1.8 及更高版本,ATA 轻型网关不再需要事件收集配置。 ATA 轻型网关现在可以在本地读取事件,而无需配置事件转发。
为了增强检测能力,ATA 需要以下 Windows 事件:4776、4732、4733、4728、4729、4756、4757、7045。 这些事件可由 ATA 轻型网关自动读取,或者如果未部署 ATA 轻型网关,可通过以下两种方式之一将其转发到 ATA 网关:配置 ATA 网关以侦听 SIEM 事件或配置 Windows 事件转发。
注意
如果使用的是 Server Core,则 wecutil 可用于创建和管理从远程计算机转发的事件的订阅。
使用端口镜像的 ATA 网关 WEF 配置
完成从域控制器到 ATA 网关的端口镜像配置后,请按照以下说明使用源启动配置来配置 Windows 事件转发。 这是一种配置 Windows 事件转发的方法。
第 1 步:将网络服务帐户添加到域的事件日志读取器组。
在此方案中,假设 ATA 网关是域中的成员。
- 打开 Active Directory 的“用户和计算机”,导航到“BuiltIn”文件夹,然后双击“事件日志读取器”。
- 选择“成员”。
- 如果未列出“网络服务”,请选择“添加”,在“输入要选择的对象名称”字段中键入“网络服务”。 选择“检查名称”,然后选择“确定”两次。
将“网络服务”添加到“事件日志读取器”组后,重新启动域控制器,使更改生效。
第 2 步:在域控制器上创建策略以设置“配置目标订阅管理器”设置。
注意
可以为这些设置创建一个组策略,并将这个组策略应用于由 ATA 网关监视的每个域控制器。 可通过以下步骤来修改域控制器的本地策略。
在每个域控制器上运行以下命令:winrm quickconfig
从命令提示符键入 gpedit.msc。
展开“计算机配置 > 管理模板 > Windows 组件 > 事件转发”
双击“配置目标订阅管理器”。
选择“启用”。
在“选项”下,选择“显示”。
在“SubscriptionManagers”下,输入以下值,然后选择“确定”:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10
(例如:Server=
http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10
)选择“确定”。
在提升的命令提示符中键入 gpupdate /force。
第 3 步:在 ATA 网关上执行以下步骤
打开提升的命令提示符并键入 wecutil qc
打开“事件查看器”。
右键单击“订阅”,然后选择“创建订阅”。
输入订阅的名称和说明。
对于“目标日志”,请确认“转发事件”已被选中。 要使 ATA 读取事件,目标日志必须是“转发事件”。
选择“已启动的源计算机”,然后选择“选择计算机组”。
- 选择“添加域计算机”。
- 在“输入要选择的对象名称”字段中输入域控制器的名称。 选择“检查名称”,然后选择“确定”。
- 选择“确定”。
选择“选择事件”。
- 选择“按日志”,然后选择“安全性”。
- 在“包含/排除事件 ID”字段中,键入事件编号并选择“确定”。 例如,如以下示例所示,键入 4776。
右键单击已创建的订阅,然后选择“运行时状态”,查看状态是否存在任何问题。
几分钟后,检查设置为转发的事件是否显示在 ATA 网关的“转发事件”中。
有关详细信息,请参阅:配置计算机以转发和收集事件