Configurando a Coleção de Eventos do Windows

Aplica-se a: Advanced Threat Analytics versão 1.9

Para melhorar os recursos de deteção, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Eles podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não seja implantado, ele pode ser encaminhado para o ATA Gateway de duas maneiras, configurando o ATA Gateway para ouvir eventos SIEM ou configurando o Encaminhamento de Eventos do Windows.

Configuração WEF para gateways ATA com espelhamento de porta

Depois de configurar o espelhamento de porta dos controladores de domínio para o Gateway ATA, use as instruções a seguir para configurar o encaminhamento de eventos do Windows usando a configuração iniciada pela origem. Essa é uma maneira de configurar o encaminhamento de eventos do Windows.

Etapa 1: Adicione a conta de serviço de rede ao Grupo de Leitores de Log de Eventos do domínio.

Nesse cenário, suponha que o ATA Gateway é um membro do domínio.

1. Abra Usuários e Computadores do Ative Directory, navegue até a pasta BuiltIn e clique duas vezes em Leitores de Log de Eventos.
2. Selecione Membros.
3. Se Serviço de Rede não estiver listado, selecione Adicionar, digite Serviço de Rede no campo Digite os nomes dos objetos a serem selecionados . Em seguida, selecione Verificar nomes e selecione OK duas vezes.

Depois de adicionar o Serviço de Rede ao grupo Leitores de Log de Eventos , reinicialize os controladores de domínio para que a alteração entre em vigor.

Etapa 2: Crie uma política nos controladores de domínio para definir a configuração Configurar o Gerenciador de Assinaturas de destino.

1. Execute o seguinte comando em cada controlador de domínio: winrm quickconfig

2. Em um prompt de comando, digite gpedit.msc.

3. Expanda Modelos Administrativos de Configuração > do > Computador Componentes do Windows Encaminhamento > de eventos

   

4. Clique duas vezes em Configurar Gerenciador de Assinaturas de destino.

   1. Selecione Ativado.

   2. Em Opções, selecione Mostrar.

   3. Em SubscriptionManagers, insira o seguinte valor e selecione OK:Server=http://<fqdnATAGateway\>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      (Por exemplo: Server=http://atagateway.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

      

   4. Selecione OK.

   5. Em um prompt de comando elevado, digite gpupdate /force.

Etapa 3: Execute as seguintes etapas no gateway do ATA

1. Abra um prompt de comando elevado e digite wecutil qc

2. Abra o Visualizador de Eventos.

3. Clique com o botão direito do mouse em Assinaturas e selecione Criar assinatura.

   1. Insira um nome e uma descrição para a assinatura.

   2. Para Log de destino, confirme se a opção Eventos encaminhados está selecionada. Para que o ATA leia os eventos, o log de destino deve ser Eventos Encaminhados.

   3. Selecione Computador de origem iniciado e, em seguida, escolha Selecionar grupos de computadores.

      1. Selecione Adicionar computador de domínio.
      2. Digite o nome do controlador de domínio no campo Digite o nome do objeto a ser selecionado . Em seguida, selecione Verificar nomes e selecione OK.
         
      3. Selecione OK.

   4. Selecione Selecionar eventos.

      1. Selecione Por log e selecione Segurança.
      2. No campo Inclui/Exclui ID do Evento, digite o número do evento e selecione OK. Por exemplo, digite 4776, como no exemplo a seguir.

      

   5. Clique com o botão direito do mouse na assinatura criada e selecione Status do tempo de execução para ver se há algum problema com o status.

   6. Após alguns minutos, verifique se os eventos definidos para serem encaminhados estão aparecendo nos Eventos Encaminhados no Gateway do ATA.

Para obter mais informações, consulte: Configurar os computadores para encaminhar e coletar eventos

Consulte Também

• Instalar o ATA
• Confira o fórum da ATA!