設定 Windows 事件集合

  • 發行項

適用于:進階威脅分析 1.9 版

注意

針對 ATA 1.8 版和更新版本,ATA 輕量型閘道不再需要事件收集組態。 ATA 輕量型閘道現在會在本機讀取事件,而不需要設定事件轉送。

為了增強偵測功能,ATA 需要下列 Windows 事件:4776、4732、4733、4728、4729、4756、4757、7045。 這些可由 ATA 輕量型閘道自動讀取,或如果未部署 ATA 輕量型閘道,則可以透過下列兩種方式之一,將 ATA 閘道設定為接聽 SIEM 事件或設定 Windows 事件轉送,將其轉送至 ATA 閘道。

注意

如果您使用 Server Core,wecutil 可用來建立和管理從遠端電腦轉送之事件的訂用帳戶。

ATA 閘道的 WEF 設定與埠鏡像

設定從網域控制站到 ATA 閘道的埠鏡像之後,請使用下列指示,使用來源起始的設定來設定 Windows 事件轉送。 這是設定 Windows 事件轉送的其中一種方式。

步驟 1:將網路服務帳戶新增至網域事件記錄讀取器群組。

在此案例中,假設 ATA 閘道是網域的成員。

  1. 開啟Active Directory 消費者和電腦,流覽至 BuiltIn 資料夾,然後按兩下 [事件記錄檔讀取器 ]。
  2. 選取 [成員]
  3. 如果未 列出網路服務 ,請選取 [新增 ],在 [輸入要選取 的物件名稱] 欄位中輸入 網路服務 。 然後選取 [ 檢查名稱 ],然後選取 [確定 ] 兩次。

網路服務 新增至 事件記錄讀取器 群組之後,請重新開機網域控制站,讓變更生效。

步驟 2:在網域控制站上建立原則,以設定目標訂用帳戶管理員設定。

注意

您可以建立這些設定的群組原則,並將群組原則套用至 ATA 閘道所監視的每個網域控制站。 下列步驟會修改網域控制站的本機原則。

  1. 在每個網域控制站上執行下列命令: winrm quickconfig

  2. 從命令提示字元輸入 gpedit.msc

  3. 展開 [電腦設定 > ] 管理員[ > Windows 元件 > ] 事件轉送

    Local policy group editor image.

  4. 按兩下 [ 設定目標訂用帳戶管理員 ]。

    1. 選取 [啟用] 。

    2. 在 [選項] 底下 ,選取 [ 顯示 ]。

    3. 在 [SubscriptionManagers] ,輸入下列值,然後選取 [ 確定 ]:Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (例如:Server= http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Configure target subscription image.

    4. 選取 [確定]。

    5. 從提升許可權的命令提示字元輸入 gpupdate /force

步驟 3:在 ATA 閘道上執行下列步驟

  1. 開啟提升許可權的命令提示字元,然後輸入 wecutil qc

  2. 開啟 [事件檢視器]

  3. 以滑鼠右鍵按一下 [ 訂用帳戶 ],然後選取 [ 建立訂用帳戶 ]。

    1. 輸入訂用帳戶的名稱和描述。

    2. 針對 [ 目的地記錄 檔],確認已 選取 [轉送的事件 ]。 若要讓 ATA 讀取事件,目的地記錄必須是 轉送事件

    3. 選取 [起始 的來源電腦],然後選擇 [ 選取電腦群組 ]。

      1. 選取 [ 新增網域電腦 ]。
      2. 在 [輸入要選取 的物件名稱] 欄位中,輸入網域控制站 的名稱。 然後選取 [ 檢查名稱 ],然後選取 [ 確定 ]。
        Event Viewer image.
      3. 選取 [確定]。

    4. 選取 [ 選取事件 ]。

      1. 選取 [ 依記錄 檔],然後選取 [ 安全性 ]。
      2. 在 [ 包含/排除事件識別碼 ] 欄位中輸入事件號碼,然後選取 [ 確定 ]。 例如,輸入 4776,如下列範例所示。

      Query filter image.

    5. 以滑鼠右鍵按一下已建立的訂用帳戶,然後選取 [ 執行時間狀態 ],以查看狀態是否有任何問題。

    6. 幾分鐘後,請檢查您設定為轉送的事件是否顯示在 ATA 閘道上的轉送事件中。

如需詳細資訊,請參閱: 設定電腦轉送和收集事件

另請參閱