Настройка пересылки событий Windows Configuring Windows Event Forwarding

Применяется к: Advanced Threat Analytics версии 1.9 Applies to: Advanced Threat Analytics version 1.9

В версии ATA 1.8 и более поздних настройка сбора событий для упрощенных шлюзов ATA больше не требуется. For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. Упрощенный шлюз ATA теперь может считывать события локально — настраивать переадресацию событий не требуется. The ATA Lightweight Gateway now read events locally, without the need to configure event forwarding.

Чтобы улучшить возможности обнаружения, ATA требуется доступ к следующим событиям Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Они могут автоматически считываться упрощенным шлюзом ATA или, если упрощенный шлюз ATA не развернут, передаваться в шлюз ATA путем настройки прослушивания событий SIEM в шлюзе ATA или пересылки событий Windows. These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

При использовании основных серверных компонентов можно использовать wecutil для создания подписок на события, которые пересылаются с удаленных компьютеров, и управления этими подписками. If you are using Server Core, wecutil can be used to create and manage subscriptions to events that are forwarded from remote computers.

Настройка пересылки событий Windows для шлюза ATA с зеркалированием портов WEF configuration for ATA Gateway’s with port mirroring

После настройки зеркалирования портов от контроллеров домена на шлюз ATA выполните следующие инструкции, чтобы настроить пересылку событий Windows с помощью конфигурации «инициировано источником». After configuring port mirroring from the domain controllers to the ATA Gateway, use the following instructions to configure Windows Event forwarding using Source Initiated configuration. Это один из возможных способов пересылки событий Windows. This is one way to configure Windows Event forwarding.

Шаг 1. Добавление учетной записи сетевой службы в группу читателей журнала событий для домена Step 1: Add the network service account to the domain Event Log Readers Group.

В этом сценарии предполагается, что шлюз ATA входит в домен. In this scenario, assume that the ATA Gateway is a member of the domain.

1. Откройте раздел «Пользователи и компьютеры Active Directory», перейдите в папку Builtin и дважды щелкните группу Читатели журнала событий. Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
2. Выберите пункт Участники. Select Members.
3. Если в этом списке нет элемента Сетевая служба, нажмите кнопку Добавить и введите имя Сетевая служба в поле Введите имена выбираемых объектов. If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Щелкните Проверить имена и дважды нажмите ОК. Then click Check Names and click OK twice.

После добавления сетевой службы в группу Читатели журнала событий перезагрузите контроллеры домена, чтобы изменения вступили в силу. After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

Шаг 2. Создание на контроллерах домена политики для изменения параметра «Настроить конечный диспетчер подписки» Step 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Вы можете настроить групповую политику для этих параметров, а затем применять ее к каждому контроллеру домена, контролируемому шлюзом ATA. You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. Описанные ниже действия изменяют локальную политику контроллера домена. The steps below modify the local policy of the domain controller.

Выполните следующую команду на каждом контроллере домена: winrm quickconfig. Run the following command on each domain controller: winrm quickconfig

В командной строке введите gpedit.msc. From a command prompt type gpedit.msc.

Раскройте элементы Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Пересылка событий. Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

Дважды щелкните Настроить конечный диспетчер подписки. Double-click Configure target Subscription Manager.

Выберите значение Включено. Select Enabled.

В разделе Параметры щелкните Показать. Under Options, click Show.

В поле SubscriptionManagers введите следующее значение и нажмите кнопку ОК: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10 Under SubscriptionManagers, enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10

(Например: Server= http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 ) (For example: Server= http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 )

Нажмите кнопку ОК. Click OK.

В командной строке с повышенными привилегиями введите команду gpupdate /force. From an elevated command prompt type gpupdate /force.

Шаг 3. Выполнение действий на сервере шлюза ATA Step 3: Perform the following steps on the ATA Gateway

Откройте командную строку с повышенными привилегиями и введите wecutil qc Open an elevated command prompt and type wecutil qc

Откройте средство просмотра событий. Open Event Viewer.

Щелкните правой кнопкой мыши Подписки и выберите Создать подписки. Right-click Subscriptions and select Create Subscription.

Введите имя и описание для подписки. Enter a name and description for the subscription.

В параметре Журнал на конечном компьютере должно быть выбрано значение Пересланные события. For Destination Log, confirm that Forwarded Events is selected. Чтобы шлюз ATA мог прочитать события, для журнала назначения следует указать Перенаправленные события. For ATA to read the events, the destination log must be Forwarded Events.

Выберите Инициировано исходным компьютером и нажмите Выбор групп компьютеров. Select Source computer initiated and click Select Computers Groups.

1. Щелкните Добавить компьютер в домен. Click Add Domain Computer.
2. Введите имя контроллера домена в поле Введите имена выбираемых объектов. Enter the name of the domain controller in the Enter the object name to select field. Щелкните Проверить имена и нажмите кнопку ОК. Then click Check Names and click OK.
   
3. Нажмите кнопку ОК. Click OK.

Щелкните Выбрать события. Click Select Events.

1. Щелкните По журналу и выберите Журнал безопасности. Click By log and select Security.
2. В поле Включить/исключить идентификаторы событий введите номер события и нажмите кнопку OK. In the Includes/Excludes Event ID field type the event number and click OK. Например, введите 4776, как в следующем примере. For example, type 4776, like in the following sample.

Щелкните созданную подписку правой кнопкой мыши и выберите Состояние выполнения, чтобы проверить, есть ли проблемы с состоянием. Right-click the created subscription and select Runtime Status to see if there are any issues with the status.

Через несколько минут убедитесь в том, что события, для которых настроена пересылка, отображаются в списке пересланных событий в шлюзе ATA. After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

Windows Event Collector

You can subscribe to receive and store events on a local computer (event collector) that are forwarded from a remote computer (event source). The Windows Event Collector functions support subscribing to events by using the WS-Management protocol. For more information about WS-Management, see About Windows Remote Management.

Event Forwarding and Event Collection Architecture

Event collection allows administrators to get events from remote computers and store them in a local event log on the collector computer. The destination log path for the events is a property of the subscription. All data in the forwarded event is saved in the collector computer event log (none of the information is lost). Additional information related to the event forwarding is also added to the event. For more information about how to enable a computer to receive collected events or forward events, see Configure Computers to Forward and Collect Events.

Subscriptions

The following list describes the types of event subscriptions:

• Source-initiated subscriptions: allows you to define an event subscription on an event collector computer without defining the event source computers. Multiple remote event source computers can then be set up (using a group policy setting) to forward events to the event collector computer. For more information, see Setting up a Source Initiated Subscription. This subscription type is useful when you do not know or you do not want to specify all the event sources computers that will forward events.
• Collector-initiated subscriptions: allows you to create an event subscription if you know all the event source computers that will forward events. You specify all the event sources at the time the subscription is created. For more information, see Creating a Collector Initiated Subscription.

Windows Event Collector Functions

For more information and code examples that use the Event Collector functions, see Using Windows Event Collector.

For more information about the functions used to collect and forward events, see Windows Event Collector functions.

Kvazar’s Blog

Мысли, статьи, размышления…

Настройка Event Collector в Windows Server 2008

В новой линейке Windows появилась замечательная функция сбора логов с разных серверов и рабочих станций. Это позволяет значительно сократить время на просмотр событий, если у вас несколько систем. То есть, на одном из серверов под управлением Windows Server 2008 вы настраиваете подписку на нужные Вам эвенты других компьютеров и просматриваете их в одной консоли. Можно собирать события с систем под управлением Windows Server 2008/Vista, а также, после установки дополнительного софта, и с Wisdows Server 2003.

Подготовка:

• На каждом компьютере, с которых вы хотите собирать логи, запустите команду winrm quickconfig;
• Добавьте учетную запись компьютера, который будет собирать логи (целевой компьютер), в группу «Event Log Readers» (Читатели журналов событий) каждого из этих компов;
• В командной строке целевого компьютера выполните wecutil qc.
  Если вы планируете изменять параметры Minimize Bandwidth или Minimize Latency, дополнительно введите команду winrm quickconfig;

Помимо ручной настроки, исходящий и целевой компьютеры можно настроить с помощью GPO. Для этого создайте группову политику, например GPO-EventForward. Перейдите: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Event Forwarding. Выберите пункт Configure the server adress, refresh interval , and issuer certificate authority of a Target Subscription Manager. Выберите Enable, нажмите «Show» и введите в поле полный fqdn адрес целевого компьютера (сборщика событий).

Далее, перейдите в Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Windows Remote management >> WinRM Service. Выберите пункт Allow automatic configuration of listeners, поставьте галку «Enable«, а в полях Ipv4 filter и Ipv6 filter поставьте знак « * «. Прикрепите политику к необходимому подразделению.

Обращаю Ваще внимание, что все действия необходимо выполнять под учеткой администратора. Помимо этого, обязательно должна быть запущена служба Microsoft Firewall на всех компьютерах.

Настройка:

«После того, как собирающий и исходные компьютеры подготовлены, необходимо «оформить» подписку, указывающую какие события предоставлять.

Для этого откройте консоль Event Viewer и выберите пункт «Subscriptions«. В меню правой кнопки мыши «Create Subscription«.

В появившемся окне Вы должны будете указать имя подписки, выбрать журнал, в который будут поступать присланные события, а также настроить фильтр отбора событий по тем или иным критериям.

Но главное, вы должны выбрать способ сбора и имена компьютеров, предоставляющих события — либо целевой компьютер в нужное ему время опрашивает исходные компы на наличие необходимых событий, либо исходные компьютеры предоставляют сборщику события по расписанию. В случае, если вы добавляете компьютер, не принадлежакщий домену, необходимо добавить сертификат, на основании которого пудет проверена подлинность этого компьютера.

Также, если для доступа к компьютеру используется канал WiFi либо медленное ADSL соединение, в разделе «Дополнительно» можно выбрать вариант уменьшенной пропускной способности сети.

После завершения настройки Вы сможете мониторить события всех ваших серверов с одного компьютера. В дальнейшем можно настроить при поступлении события выполнение различных действий, которые могут быть выражены в отправке сообщения по электронной почте, отображении локального сообщения или запуске программы или скрипта.