配置 Windows 事件收集

  • 项目

适用于:高级威胁分析版本 1.9

注意

对于 ATA 1.8 及更高版本,ATA 轻型网关不再需要事件收集配置。 ATA 轻型网关现在可以在本地读取事件,而无需配置事件转发。

为了增强检测能力,ATA 需要以下 Windows 事件:4776、4732、4733、4728、4729、4756、4757、7045。 这些事件可由 ATA 轻型网关自动读取,或者如果未部署 ATA 轻型网关,可通过以下两种方式之一将其转发到 ATA 网关:配置 ATA 网关以侦听 SIEM 事件或配置 Windows 事件转发。

注意

如果使用的是 Server Core,则 wecutil 可用于创建和管理从远程计算机转发的事件的订阅。

使用端口镜像的 ATA 网关 WEF 配置

完成从域控制器到 ATA 网关的端口镜像配置后,请按照以下说明使用源启动配置来配置 Windows 事件转发。 这是一种配置 Windows 事件转发的方法。

第 1 步:将网络服务帐户添加到域的事件日志读取器组。

在此方案中,假设 ATA 网关是域中的成员。

  1. 打开 Active Directory 的“用户和计算机”,导航到“BuiltIn”文件夹,然后双击“事件日志读取器”
  2. 选择“成员”
  3. 如果未列出“网络服务”,请选择“添加”,在“输入要选择的对象名称”字段中键入“网络服务”。 选择“检查名称”,然后选择“确定”两次。

将“网络服务”添加到“事件日志读取器”组后,重新启动域控制器,使更改生效。

第 2 步:在域控制器上创建策略以设置“配置目标订阅管理器”设置。

注意

可以为这些设置创建一个组策略,并将这个组策略应用于由 ATA 网关监视的每个域控制器。 可通过以下步骤来修改域控制器的本地策略。

  1. 在每个域控制器上运行以下命令:winrm quickconfig

  2. 从命令提示符键入 gpedit.msc

  3. 展开“计算机配置 > 管理模板 > Windows 组件 > 事件转发”

    Local policy group editor image.

  4. 双击“配置目标订阅管理器”

    1. 选择“启用”。

    2. 在“选项”下,选择“显示”。

    3. 在“SubscriptionManagers”下,输入以下值,然后选择“确定”Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例如:Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Configure target subscription image.

    4. 选择“确定”

    5. 在提升的命令提示符中键入 gpupdate /force

第 3 步:在 ATA 网关上执行以下步骤

  1. 打开提升的命令提示符并键入 wecutil qc

  2. 打开“事件查看器”。

  3. 右键单击“订阅”,然后选择“创建订阅”

    1. 输入订阅的名称和说明。

    2. 对于“目标日志”,请确认“转发事件”已被选中。 要使 ATA 读取事件,目标日志必须是“转发事件”

    3. 选择“已启动的源计算机”,然后选择“选择计算机组”。

      1. 选择“添加域计算机”。
      2. 在“输入要选择的对象名称”字段中输入域控制器的名称。 选择“检查名称”,然后选择“确定”
        Event Viewer image.
      3. 选择“确定”

    4. 选择“选择事件”。

      1. 选择“按日志”,然后选择“安全性”。
      2. 在“包含/排除事件 ID”字段中,键入事件编号并选择“确定”。 例如,如以下示例所示,键入 4776。

      Query filter image.

    5. 右键单击已创建的订阅,然后选择“运行时状态”,查看状态是否存在任何问题。

    6. 几分钟后,检查设置为转发的事件是否显示在 ATA 网关的“转发事件”中。

有关详细信息,请参阅:配置计算机以转发和收集事件

另请参阅