适用于:高级威胁分析版本 1.9
为了增强检测能力,ATA 需要以下 Windows 事件:4776、4732、4733、4728、4729、4756、4757、7045。 这些事件可由 ATA 轻型网关自动读取,或者如果未部署 ATA 轻型网关,可通过以下两种方式之一将其转发到 ATA 网关:配置 ATA 网关以侦听 SIEM 事件或配置 Windows 事件转发。
完成从域控制器到 ATA 网关的端口镜像配置后,请按照以下说明使用源启动配置来配置 Windows 事件转发。 这是一种配置 Windows 事件转发的方法。
第 1 步:将网络服务帐户添加到域的事件日志读取器组。
在此方案中,假设 ATA 网关是域中的成员。
- 打开 Active Directory 的“用户和计算机”,导航到“BuiltIn”文件夹,然后双击“事件日志读取器”。
- 选择“成员”。
- 如果未列出网络服务,请选择添加,在输入要选择的对象名称字段中键入网络服务。 选择“检查名称”,然后选择“确定”两次。
将“网络服务”添加到“事件日志读取器”组后,重新启动域控制器,使更改生效。
第 2 步:在域控制器上创建策略以设置“配置目标订阅管理器”设置。
- 在每个域控制器上运行以下命令:winrm quickconfig
- 从命令提示符键入 gpedit.msc。
- 展开“计算机配置 > 管理模板 > Windows 组件 > 事件转发”
- 双击“配置目标订阅管理器”。
- 选择启用。
- 在“选项”下,选择“显示”。
- 在“SubscriptionManagers”下,输入以下值,然后选择“确定”:
(例如:Server=)
- 选择“确定”。
- 在提升的命令提示符中键入 gpupdate /force。
第 3 步:在 ATA 网关上执行以下步骤
- 打开提升的命令提示符并键入 wecutil qc
- 打开“事件查看器”。
- 右键单击订阅,然后选择创建订阅。
- 输入订阅的名称和说明。
- 对于“目标日志”,请确认“转发事件”已被选中。 要使 ATA 读取事件,目标日志必须是“转发事件”。
- 选择“已启动的源计算机”,然后选择“选择计算机组”。
- 选择“添加域计算机”。
- 在“输入要选择的对象名称”字段中输入域控制器的名称。 选择“检查名称”,然后选择“确定”。
- 选择“确定”。
- 选择“选择事件”。
- 选择“按日志”,然后选择“安全性”。
- 在“包含/排除事件 ID”字段中,键入事件编号并选择“确定”。 例如,如以下示例所示,键入 4776。
- 右键单击已创建的订阅,然后选择“运行时状态”,查看状态是否存在任何问题。
- 几分钟后,检查设置为转发的事件是否显示在 ATA 网关的“转发事件”中。
有关详细信息,请参阅:配置计算机以转发和收集事件
- 安装 ATA
- 查看 ATA 论坛!
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/bcyy/12702.html