Konfigurera Windows-händelsesamling
Gäller för: Advanced Threat Analytics version 1.9
Obs!
För ATA version 1.8 och senare behövs inte längre konfiguration av händelseinsamling för ATA Lightweight Gateways. ATA Lightweight Gateway läser nu händelser lokalt, utan att behöva konfigurera vidarebefordran av händelser.
För att förbättra identifieringsfunktionerna behöver ATA följande Windows-händelser: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Dessa kan antingen läsas automatiskt av ATA Lightweight Gateway eller om ATA Lightweight Gateway inte har distribuerats, kan den vidarebefordras till ATA Gateway på något av två sätt genom att konfigurera ATA Gateway för att lyssna efter SIEM-händelser eller genom att konfigurera vidarebefordran av Windows-händelser.
Obs!
Om du använder Server Core kan wecutil användas för att skapa och hantera prenumerationer på händelser som vidarebefordras från fjärrdatorer.
WEF-konfiguration för ATA Gateway med portspegling
När du har konfigurerat portspegling från domänkontrollanterna till ATA Gateway använder du följande instruktioner för att konfigurera vidarebefordran av Windows-händelser med hjälp av källinitierad konfiguration. Det här är ett sätt att konfigurera vidarebefordran av Windows-händelser.
Steg 1: Lägg till nätverkstjänstkontot i domänens händelseloggläsargrupp.
I det här scenariot förutsätter du att ATA Gateway är medlem i domänen.
- Öppna Active Directory - användare och datorer, navigera till mappen BuiltIn och dubbelklicka på Händelseloggläsare.
- Välj Medlemmar.
- Om Nätverkstjänst inte finns med i listan väljer du Lägg till, skriver Nätverkstjänst i fältet Ange de objektnamn som ska väljas . Välj sedan Kontrollera namn och välj OK två gånger.
När du har lagt till nätverkstjänsten i gruppen Händelseloggläsare startar du om domänkontrollanterna för att ändringen ska börja gälla.
Steg 2: Skapa en princip på domänkontrollanterna för att ange inställningen Konfigurera målprenumerationshanteraren.
Obs!
Du kan skapa en grupprincip för de här inställningarna och tillämpa grupprincipen på varje domänkontrollant som övervakas av ATA Gateway. Stegen nedan ändrar domänkontrollantens lokala princip.
Kör följande kommando på varje domänkontrollant: winrm quickconfig
Från en kommandotolk skriver du gpedit.msc.
Expandera Datorkonfiguration > Administrativa mallar > Vidarebefordra windows-komponenter > händelse
Dubbelklicka på Konfigurera målprenumerationshanteraren.
Välj Aktiverad.
Under Alternativ väljer du Visa.
Under SubscriptionManagers anger du följande värde och väljer OK:
Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10(Till exempel: Server=
http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)
Välj OK.
Från en upphöjd kommandotolk skriver du gpupdate /force.
Steg 3: Utför följande steg på ATA Gateway
Öppna en upphöjd kommandotolk och skriv wecutil qc
Öppna Loggboken.
Högerklicka på Prenumerationer och välj Skapa prenumeration.
Ange ett namn och en beskrivning för prenumerationen.
Bekräfta att Vidarebefordrade händelser har valts för Mållogg. För att ATA ska kunna läsa händelserna måste målloggen vara Vidarebefordrade händelser.
Välj Källdator initierad och välj sedan Välj datorer Grupper.
- Välj Lägg till domändator.
- Ange namnet på domänkontrollanten i fältet Ange det objektnamn som ska väljas . Välj sedan Kontrollera namn och välj OK.
- Välj OK.
Välj Välj händelser.
- Välj Efter logg och välj Säkerhet.
- I fältet Inkluderar/exkluderar händelse-ID skriver du händelsenumret och väljer OK. Skriv till exempel 4776, som i följande exempel.
Högerklicka på den skapade prenumerationen och välj Körningsstatus för att se om det finns några problem med statusen.
Efter några minuter kontrollerar du att de händelser som du har angett ska vidarebefordras visas i Vidarebefordrade händelser på ATA Gateway.
Mer information finns i: Konfigurera datorerna att vidarebefordra och samla in händelser