Konfigurieren der Windows-Ereignissammlung

Gilt für: Advanced Threat Analytics, Version 1.9

Hinweis

Für ATA-Versionen 1.8 und höher ist die Ereignissammlungskonfiguration für ATA Lightweight Gateways nicht mehr erforderlich. Das ATA Lightweight Gateway liest jetzt Ereignisse lokal, ohne die Ereignisweiterleitung konfigurieren zu müssen.

Zur Verbesserung der Erkennungsfunktionen benötigt ATA die folgenden Windows-Ereignisse: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Diese können entweder automatisch vom ATA Lightweight Gateway gelesen werden oder wenn das ATA Lightweight Gateway nicht bereitgestellt wird, kann es auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, indem das ATA-Gateway so konfiguriert wird, dass er auf SIEM-Ereignisse lauscht oder Windows-Ereignisweiterleitung konfiguriert.

Hinweis

Wenn Sie Server Core verwenden, kann wecutil zum Erstellen und Verwalten von Abonnements für Ereignisse verwendet werden, die von Remotecomputern weitergeleitet werden.

WEF-Konfiguration für ATA-Gateways mit Portspiegelung

Verwenden Sie nach dem Konfigurieren der Portspiegelung von den Domänencontrollern zum ATA-Gateway die folgenden Anweisungen, um die Windows-Ereignisweiterleitung mithilfe der von der Quelle initiierten Konfiguration zu konfigurieren. Dies ist eine Möglichkeit zum Konfigurieren der Windows-Ereignisweiterleitung.

Schritt 1: Hinzufügen des Netzwerkdienstkontos zur Domänen-Ereignisprotokolllesergruppe.

Gehen Sie in diesem Szenario davon aus, dass das ATA-Gateway Mitglied der Domäne ist.

  1. Öffnen Sie Active Directory-Benutzer und -Computer, navigieren Sie zum Ordner BuiltIn und doppelklicken Sie auf Ereignisprotokollleser.
  2. Wählen Sie Mitglieder aus.
  3. Wenn Netzwerkdienst nicht aufgeführt ist, wählen Sie Hinzufügen, geben Sie Netzwerkdienst in das Feld Objektnamen eingeben, um das Feld auszuwählen ein. Wählen Sie Namen überprüfen und klicken Sie auf OK.

Nachdem Sie den Netzwerkdienst zur Gruppe Ereignisprotokollleser hinzugefügt haben, starten Sie die Domänencontroller neu, damit die Änderung wirksam wird.

Schritt 2: Erstellen Sie eine Richtlinie auf den Domänencontrollern, um die Einstellung "Zielabonnement-Manager konfigurieren" festzulegen.

Hinweis

Sie können eine Gruppenrichtlinie für diese Einstellungen erstellen und die Gruppenrichtlinie auf die einzelnen Domänencontroller anwenden, die vom ATA-Gateway überwacht werden. Die folgenden Schritte ändern die lokale Richtlinie des Domänencontrollers.

  1. Führen Sie den folgenden Befehl auf jedem Domänencontroller aus: winrm quickconfig

  2. Geben Sie an einer Eingabeaufforderung gpedit.msc ein.

  3. Erweitern Sie Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Ereignisweiterleitung

    Abbildung des lokalen Gruppenrichtlinien-Editors.

  4. Doppelklicken Sie auf Zielabonnement-Manager konfigurieren.

    1. Wählen Sie Aktiviert.

    2. Wählen Sie unter Optionen Anzeigen.

    3. Geben Sie unter Abonnement-Manager den folgenden Wert ein, und wählen Sie OK: Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Zum Beispiel: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      Abbildung der Konfiguration des Zielabonnements.

    4. Wählen Sie OK aus.

    5. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie Folgendes ein: gpupdate /force.

Schritt 3: Führen Sie die folgenden Schritte auf dem ATA-Gateway aus:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie wecutil qc ein

  2. Öffnen Sie die Ereignisanzeige.

  3. Klicken Sie mit der rechten Maustaste auf "Abonnements", und wählen Sie "Abonnement erstellen" aus.

    1. Geben Sie einen aussagekräftigen Namen für das Abonnement ein.

    2. Vergewissern Sie sich für das Zielprotokoll, dass weitergeleitete Ereignisse ausgewählt sind. Damit ATA die Ereignisse lesen kann, muss das Zielprotokoll weitergeleitete Ereignisse sein.

    3. Wählen Sie Quellcomputer initiiert und dann Computergruppen auswählen.

      1. Wählen Sie Domänen-Computer hinzufügen.
      2. Geben Sie den Namen des Domänencontrollers unter Objektnamen eingeben, um auszuwählen ein. Wählen Sie Namen überprüfen und klicken Sie auf OK.
        Abbildung der Ereignisanzeige.
      3. Wählen Sie OK aus.
    4. Wählen Sie Ereignisse auswählen.

      1. Wählen Sie Nach Protokoll und dann Sicherheit.
      2. Geben Sie im Feld Schließt Event ID ein/aus die Ereignisnummer ein und wählen Sie OK. Geben Sie z. B. "4776" wie im folgenden Beispiel ein.

      Abbildung des Abfragefilters.

    5. Rechtsklicken Sie auf das erstellte Abonnement, und wählen Sie Laufzeitstatus aus, um festzustellen, ob Probleme mit dem Status auftreten.

    6. Überprüfen Sie nach ein paar Minuten, ob die Ereignisse, die Sie weiterleiten möchten, in den weitergeleiteten Ereignissen im ATA-Gateway angezeigt werden.

Weitere Informationen finden Sie unter Einrichten von Computern zum Weiterleiten und Sammeln von Ereignissen.

Weitere Informationen