Cómo configurar el reenvío de eventos de Windows para la conciencia del usuario

Visión general

La función de Conciencia del Usuario de Cato Networks generalmente importa los eventos del registro de auditoría directamente desde el Controlador de Dominio (DC). Estos eventos de registro se muestran en la ventana de Descubrimiento de Eventos en la Aplicación de Gestión de Cato. Algunas organizaciones prefieren reenviar estos eventos desde el DC (el reenviador) a otro servidor de Windows (el colector) y configurar la Conciencia del Usuario para importar los registros de ese servidor.

El siguiente diagrama es un ejemplo de Reenvío de Eventos de Windows (WEF) con 2 servidores: un servidor es el DC que actúa como el reenviador y el segundo servidor es el colector. El colector extrae los eventos de seguridad del reenviador. El PoP de Cato importa estos eventos del colector y los muestra en la Aplicación de Gestión de Cato.

Este artículo explica cómo configurar WEF en el servidor de Windows.

Configuración del Reenvío de Registro de Eventos con Dos Servidores de Windows

Requisitos Previos:

Dos instancias de servidor de Windows (2016 o posterior):

Reenviador con directorio activo
Colector

Para configurar el reenvío del registro de eventos:

Configurar el Colector

Configurar el Reenviador

Configuración del Colector de Registro de Eventos

Esta sección describe cómo configurar la instancia del servidor de Windows como colector. El colector es el servidor que extrae los registros de eventos del servidor reenviador (DC).

Habilitación de la Administración Remota de Windows (WinRM)

La Administración Remota de Windows (WS-Management) es un servicio de Microsoft que permite reenviar los eventos al colector. Este servicio se ejecuta automáticamente por defecto; si no es así, configure el estado del servicio como: en ejecución y el tipo de inicio como: automáticamente.

Habilitación del Remoting de PowerShell

Abra la consola de Windows PowerShell y ejecute el comando: Enable-PSRemoting para habilitar el servicio de Remoto de PowerShell. Puede verificar que el PSRemoting está habilitado ejecutando el comando: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}. Si no recibe un error, entonces el servicio está ejecutándose.

Iniciando el Servicio de Colector de Suscripciones

Para iniciar la suscripción:

Abra el Visor de Eventos y haga clic en Suscripción.
Aparece una ventana emergente, haga clic en Sí para confirmar que el servicio se ejecute automáticamente.
Haga clic con el botón derecho y seleccione Crear Suscripción.
Agregue un nombre de Suscripción.
En el registro de destino, seleccione ForwardedEvents.
En Tipo de suscripción y computadoras de origen, seleccione Iniciado por colector.
Haga clic en Seleccionar Computadoras e ingrese el nombre de host del Reenviador y haga clic en OK para aplicar. Si tiene múltiples DCs, agréguelos a la lista.
Haga clic en Seleccionar Eventos y verifique que se haya seleccionado el nivel de evento: Información.
Seleccione Por registros y elija los Registros de Eventos de Seguridad.
Para reducir muchos eventos, recomendamos que agregue los IDs de Evento que Cato usa para la Conciencia del Usuario: 4768, 4769, 4770, 4624, 5145, 5140, 4625, 4647, 4608

La siguiente captura de pantalla muestra un ejemplo de ventana de Propiedades de Suscripción:

Configuración del Archivo de Eventos Reenviados

Para configurar el archivo de eventos reenviados para usar los eventos de seguridad:

Abra el Visor de Eventos y navegue a Registros de Windows > ForwardedEvents
Haga clic derecho en ForwardedEvents y haga clic en Propiedades
Cambie la ruta del registro al archivo %..\Security.evtx y haga clic en OK

Configuración del Reenviador (DC)

Esta sección describe cómo configurar el DC como reenviador.

Permitir Permisos de Lectura al Registro de Eventos de Seguridad

Abra la consola de Windows PowerShell y ejecute el comando: wevtutilgl security. Este comando proporciona información sobre el registro de eventos de Seguridad. Copie la cadena channelAccess.

Configuración de la Administración de Políticas de Grupo para el Reenviador

Vaya a Server Manger > Tools > Group Policy Management > Domains > Domain Controllers y haga clic en Default Domain Controllers Policy. Haga clic con el botón derecho y haga clic en Editar, cuando se abra la ventana de la Política de Controladores de Dominio Predeterminada, navegue a Computer Configuration → Policies → Administrative Templates → Windows Components → Event Forwarding → Configure target Subscription Manager and Establezca el valor para el administrador de suscripciones objetivo: Server=http://<FQDN del colector>:5985/wsman/SubscriptionManager/WEC,Refresh=60

La siguiente captura de pantalla muestra un ejemplo de un Administrador de Suscripciones para el servidor “MyCollector”.

2. Navegue a Computer Configuration → Policies → Administrative Templates → Windows Components → Event Log Service → Security → Configure log access seleccione Enabled y pegue la cadena channelAccess del sección anterior en el panel de Acceso al Registro.

La siguiente captura de pantalla muestra un ejemplo de configuración de acceso al registro con el valor de channelAccess:

Agregar el Servicio de Red al Grupo de Lectores de Eventos

Vaya a Server Manger > Tools > Active Directory Users and Computers > <Name del Dominio >Builtin, haga clic derecho en el grupo Lectores de Registro de Eventos y haga clic en Propiedades. cuando se abre la ventana, vaya a la pestaña Miembros y agregue la cuenta del Servicio de Red y haga clic en OK.

Abra la línea de comandos y ejecute el comando gpupdate /force para actualizar el GPO. Los cambios en este grupo requieren un reinicio para que WinRM aplique los cambios.

Comprobación del Reenvío del Registro de Eventos

Cuando complete la configuración del colector y el reenviador, vaya al servidor Colector y abra el Visor de Eventos y navegue a Registros de Windows > Eventos Reenviados. Asegúrese de que pueda ver los eventos en esta sección.