Настройка пересылки событий Windows Configuring Windows Event Forwarding

Применяется к: Advanced Threat Analytics версии 1.9 Applies to: Advanced Threat Analytics version 1.9

В версии ATA 1.8 и более поздних настройка сбора событий для упрощенных шлюзов ATA больше не требуется. For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. Упрощенный шлюз ATA теперь может считывать события локально — настраивать переадресацию событий не требуется. The ATA Lightweight Gateway now read events locally, without the need to configure event forwarding.

Чтобы улучшить возможности обнаружения, ATA требуется доступ к следующим событиям Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Они могут автоматически считываться упрощенным шлюзом ATA или, если упрощенный шлюз ATA не развернут, передаваться в шлюз ATA путем настройки прослушивания событий SIEM в шлюзе ATA или пересылки событий Windows. These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

При использовании основных серверных компонентов можно использовать wecutil для создания подписок на события, которые пересылаются с удаленных компьютеров, и управления этими подписками. If you are using Server Core, wecutil can be used to create and manage subscriptions to events that are forwarded from remote computers.

Настройка пересылки событий Windows для шлюза ATA с зеркалированием портов WEF configuration for ATA Gateway’s with port mirroring

После настройки зеркалирования портов от контроллеров домена на шлюз ATA выполните следующие инструкции, чтобы настроить пересылку событий Windows с помощью конфигурации «инициировано источником». After configuring port mirroring from the domain controllers to the ATA Gateway, use the following instructions to configure Windows Event forwarding using Source Initiated configuration. Это один из возможных способов пересылки событий Windows. This is one way to configure Windows Event forwarding.

Шаг 1. Добавление учетной записи сетевой службы в группу читателей журнала событий для домена Step 1: Add the network service account to the domain Event Log Readers Group.

В этом сценарии предполагается, что шлюз ATA входит в домен. In this scenario, assume that the ATA Gateway is a member of the domain.

1. Откройте раздел «Пользователи и компьютеры Active Directory», перейдите в папку Builtin и дважды щелкните группу Читатели журнала событий. Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
2. Выберите пункт Участники. Select Members.
3. Если в этом списке нет элемента Сетевая служба, нажмите кнопку Добавить и введите имя Сетевая служба в поле Введите имена выбираемых объектов. If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Щелкните Проверить имена и дважды нажмите ОК. Then click Check Names and click OK twice.

После добавления сетевой службы в группу Читатели журнала событий перезагрузите контроллеры домена, чтобы изменения вступили в силу. After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

Шаг 2. Создание на контроллерах домена политики для изменения параметра «Настроить конечный диспетчер подписки» Step 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Вы можете настроить групповую политику для этих параметров, а затем применять ее к каждому контроллеру домена, контролируемому шлюзом ATA. You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. Описанные ниже действия изменяют локальную политику контроллера домена. The steps below modify the local policy of the domain controller.

Выполните следующую команду на каждом контроллере домена: winrm quickconfig. Run the following command on each domain controller: winrm quickconfig

В командной строке введите gpedit.msc. From a command prompt type gpedit.msc.

Раскройте элементы Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Пересылка событий. Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

Дважды щелкните Настроить конечный диспетчер подписки. Double-click Configure target Subscription Manager.

Выберите значение Включено. Select Enabled.

В разделе Параметры щелкните Показать. Under Options, click Show.

В поле SubscriptionManagers введите следующее значение и нажмите кнопку ОК: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10 Under SubscriptionManagers, enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10

(Например: Server= http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 ) (For example: Server= http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 )

Нажмите кнопку ОК. Click OK.

В командной строке с повышенными привилегиями введите команду gpupdate /force. From an elevated command prompt type gpupdate /force.

Шаг 3. Выполнение действий на сервере шлюза ATA Step 3: Perform the following steps on the ATA Gateway

Откройте командную строку с повышенными привилегиями и введите wecutil qc Open an elevated command prompt and type wecutil qc

Откройте средство просмотра событий. Open Event Viewer.

Щелкните правой кнопкой мыши Подписки и выберите Создать подписки. Right-click Subscriptions and select Create Subscription.

Введите имя и описание для подписки. Enter a name and description for the subscription.

В параметре Журнал на конечном компьютере должно быть выбрано значение Пересланные события. For Destination Log, confirm that Forwarded Events is selected. Чтобы шлюз ATA мог прочитать события, для журнала назначения следует указать Перенаправленные события. For ATA to read the events, the destination log must be Forwarded Events.

Выберите Инициировано исходным компьютером и нажмите Выбор групп компьютеров. Select Source computer initiated and click Select Computers Groups.

1. Щелкните Добавить компьютер в домен. Click Add Domain Computer.
2. Введите имя контроллера домена в поле Введите имена выбираемых объектов. Enter the name of the domain controller in the Enter the object name to select field. Щелкните Проверить имена и нажмите кнопку ОК. Then click Check Names and click OK.
   
3. Нажмите кнопку ОК. Click OK.

Щелкните Выбрать события. Click Select Events.

1. Щелкните По журналу и выберите Журнал безопасности. Click By log and select Security.
2. В поле Включить/исключить идентификаторы событий введите номер события и нажмите кнопку OK. In the Includes/Excludes Event ID field type the event number and click OK. Например, введите 4776, как в следующем примере. For example, type 4776, like in the following sample.

Щелкните созданную подписку правой кнопкой мыши и выберите Состояние выполнения, чтобы проверить, есть ли проблемы с состоянием. Right-click the created subscription and select Runtime Status to see if there are any issues with the status.

Через несколько минут убедитесь в том, что события, для которых настроена пересылка, отображаются в списке пересланных событий в шлюзе ATA. After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

Windows event log port

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

I am trying to configure source initiated Windows Event Forwarding.

We don’t use Windows Firewall and control firewall rules ourselves through a different process.

• Do i need to open port 5985 between my event logging server and the source computers OR;
• do i need to open 5985 between the source computers and event logging server OR;
• does port 5985 need to be open both ways?

Answers

Form following links, you need to open port 5985 both on server and client.

Setting Up Security Event Log Subscriptions with Windows Server 2003/2008:

Configuring Event Forwarding Source Computer initiated Subscription:

Журналирование Windows EventLog и система оповещения для администраторов

Некоторое количество времени(года три) назад, в попытке найти способ экспорта Windows EventLog, была найдена возможность в удобном виде осуществлять аудит различных событий происходящих на сервере.

Microsoft своими «добрыми» технологиями сделала Windows практически несовместимым со штатными системами журналирования событий(syslog), но оставила небольшую лазейку которую можно использовать.
Лазейка представляет собой комбинацию SNMP trap и программы экспорта системных событий evntwin.

Для работы связки нужен настроенный snmptrapd, а также активированный сервис SNMP на windows сервере (добавляется через «добавление/удаление компонентов»).

Первым делом нужно настроить сервер на который будут сбрасываться сообщения из Eventlog.

После того как сервис настроен, запускаем программу evntwin.exe
technet.microsoft.com/en-us/library/cc759390%28WS.10%29.aspx
Как она выглядит видно на следующем скриншоте.

Принцип использования evntwin прост. Вы выбираете категорию и код события которые Вас интересуют и добавляете их в список. При наступлении события сообщение одновременно будет сохранено в EventLog, а также будет «трапнуто» на сервер мониторинга.

На сервере мониторинга в snmptrapd.conf нужно добавить строку обработчика.

1. authCommunity log,execute public
2. format1 Trap from %B
3. format2 Trap from %B
4. traphandle default /usr/ local /etc/trapd.pl

Сам обработчик написан мной на perl, код можно взять по ссылке trapd.pl(Не рекомендуется копипастить подсвеченный код из поста, лучше взять по ссылке). Он разбирает входящие trap сообщения и формирует письмо администраторам.

use vars qw / $hostname $source $oid @data $trap $error /;

my @indata = (<>);
$trap -> = shift(@indata);
$trap ->= shift(@indata);
$trap -> = shift(@indata);
(undef, $trap ->) = split (/ /, $trap ->, 2 );
$trap -> = shift(@indata);
open OUT, «>>/var/log/snmptrapd.log» ;
chomp( $trap ->);
chomp( $trap ->);
chomp( $trap ->);
chomp( $trap ->);
print OUT «Hostname: $trap->\n» ;
print OUT «Source: $trap->\n» ;
print OUT «Uptime: $trap->\n» ;
$trap -> =

s/(.*)\.(\d+)$/ $2 /g;
print OUT «OID: $trap->\n» ;
my $str = join( «» ,@indata);
$str =

s/\n+/\n/g;
my @data = split (/SNMPv2\-SMI\:\:enterprises\. 311 \. 1 \. 13 \. 1 \. 9999 \.\d+\. 0 \s/, $str );
undef $error ;
my $part = $data [ 1 ];
my @str = split(/\n/, $part );
$trap -> = $str [ 0 ];
$trap -> =

s/\:$ //;
$error = «Hostname: $trap->\n» ;
$error .= «Source: $trap->\n\n» ;
foreach my $line (@str)
<
if ( $line =

close OUT;
exit ( 0 );

sub mail_send
<
# my @arr = shift;
use Net::SMTP;
$smtp = Net::SMTP-> new ( ‘localhost’ );
$smtp ->mail( ‘security@nagios.mydomain.ru’ );
$smtp ->to( ‘account_admin@mydomain.ru’ );
$smtp ->data();
$smtp ->datasend( «To: account_admin\@mydomain.ru\n» );
$smtp ->datasend( «Subject: $trap->\n» );
$smtp ->datasend( «\n» );
$smtp ->datasend( $error );
$smtp ->dataend();
$smtp ->quit;
>

Hostname: bdc.mydoman.ru
Source: UDP: [192.168.0.3]:1081

Change Password Attempt:
Target Account Name:pupkin_v
Target Domain:MYDOM
Target Account ID:%
Caller User Name:pupkin_v
Caller Domain:MYDOM
Caller Logon ID:(0x0,0x39B1BD)

Hostname: sadc.mydomain.ru
Source: UDP: [192.168.0.4]:1074

User Account Locked Out:
Target Account Name:ivanov_v
Target Account ID:%
Caller Machine Name:MX
Caller User Name:SADC$
Caller Domain:MYDOM
Caller Logon ID:(0x0,0x3E7)

Hostname: sadc.mydomain.ru
Source: UDP: [192.168.0.4]:1072

Logon Failure:
Reason:Unknown user name or bad password
User Name:Popov_V
Domain:MYDOM
Logon Type:3
Logon Process:Advapi
Authentication Package:Negotiate
Workstation Name:SADC
Caller User Name:SADC$
Caller Domain:MYDOM
Caller Logon ID:(0x0,0x3E7)
Caller Process ID:580
Source Network Address:192.168.0.20
Source Port:36018

Так как мы подписаны только на интересующие нас сообщения, мы не видим остального системного мусора из EventLog.
Очень удобна данная система при вирусных эпидемиях типа Kido, когда сразу нельзя понять откуда пошло всё размножаться или при брутфорсе системных паролей. Потому что чётко виден Logon Failure и имя машины с которой была неудачная попытка.

Спокойной Вам работы.
PS: готовый конфиг с представленными на скриншоте категориями лежит тут