ATA + Windows Event Forwarding (WEF)

{ Posted on Jul 11 2016 by Karsten Hentrup }
Categories : ATA, Karsten Hentrup

Hallo Allerseits,

anlehnend an den letzten Artikel von mir, wo ich den Aufbau von ATA Gateways beschrieben habe, zeige ich in diesem Artikel wie ATA + Windows Event Forwarding (WEF) konfiguriert wird.

Die Erkennungsfunktion von ATA kann durch die Windows Event log ID 4776 (https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4776) verbessert werden. Diese Event log IDs schlagen im Security Log der DCs auf und werden dann von den ATA-Gateways dort abgeholt. Wenn das ATA Lightweight Gateway auf einem DC installiert ist, dann findet die komplette Konfiguration halt auf diesem DC statt. Die hier abgebildete Konfiguration bezieht sich auf den “klassischen” ATA Gateway Aufbau (ATA Gateway an Spiegelport).

Microsoft hat inzwischen auch einen passenden Artikel zu dem Thema online: https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/configure-event-collection

Zunächst seien zwei Begriffe erklärt:

Als Quellen (Source) werden die Maschinen bezeichnet, auf welchen die Event-IDs entstehen bzw. geloggt werden. Hier somit die DCs.
Als Kollektoren (Collector) werden die Maschinen bezeichnet, welche die weitergeleiteten Events verarbeiten. Hier somit die ATA Gateways.

Beginnen wir mit einem Blick ins AD. hier wird die globale Gruppe “Event Log Readers” in der OU Builtin editiert. Hier fügt man die Kollektoren, also die Computerkonten der vorhandenen ATA-Gateways hinzu (auf dem Screen seht ihr als viertes Objekt einen DC, hier ist ein ATA Lightweight Gateway installiert).

image

Auf allen Quellen (DCs) wird folgender Befehl abgesetzt: winrm quickconfig

image

Auf den Kollektoren hingegen dieser: wecutil qc

image

Im Anschluss daran wird eine sogenannte “Subscription” im Event Viewer der Kollektoren erstellt. Je nach Zuordnung von Quelle und Kollektor wird dann der jeweilige DC hinzugefügt:

image

Unter “Events to collect” wird noch ein Filter gesetzt, dazu klickt man auf “Select Events”:

image

Danach noch unter “Advanced” kontrollieren ob “HTTP 5985” gesetzt ist:

image

Nun sollten unter “Forwarded Events” im Event Viewer der Kollektoren 4776 Events eintrudeln (ggf. ein wenig warten):

image

Prima, nun lauschen unsere ATA Gateways an den Spiegelports und dazu bekommen sie noch die 4776er Events der DCs zugestellt. Es ist an der Zeit sich näher mit der “ATA Konsole” zu beschäftigen und einen Blick auf das Essentielle zu richten: die Auswertung und Darstellung der AD-Informationen. Dazu werde ich im Frühherbst weitere Artikel schreiben – nach der Sommerpause!

Viele Grüße und euch allen einen schönen Sommer 2016,

Karsten Hentrup aka Jens Mander…

<j-j>

Post a Comment

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.

*