La fonction de sensibilisation de l'utilisateur de Cato Networks importe généralement les événements de journal d'audit directement depuis le contrôleur de domaine (DC). Ces événements de journal sont affichés dans la fenêtre de découverte d'événements de l'application de gestion Cato. Certaines organisations préfèrent transférer ces événements du DC (l'émetteur) à un autre serveur Windows (le collecteur) et configurer la sensibilisation de l'utilisateur pour importer les journaux à partir de ce serveur.
Le diagramme suivant est un exemple de transfert d'événements Windows (WEF) avec 2 serveurs : un serveur est le DC qui agit en tant qu'émetteur et le second serveur est le collecteur. Le collecteur récupère les événements de sécurité de l'émetteur. Le PoP de Cato importe ces événements depuis le collecteur et les affiche dans l'application de gestion Cato.
Cet article explique comment configurer WEF sur le serveur Windows.
Prérequis :
Deux instances de serveur Windows (2016 ou ultérieur) :
-
Émetteur avec annuaire actif
-
Collecteur
Pour configurer le transfert de journal d'événements :
-
Configurer le Collecteur
-
Configurer l'émetteur
Cette section décrit comment configurer l'instance de serveur Windows en tant que collecteur. Le collecteur est le serveur qui récupère les journaux d'événements du serveur émetteur (DC).
La gestion à distance Windows (WS-Management) est un service Microsoft qui permet de transférer les événements vers le collecteur. Ce service est en cours d'exécution par défaut ; si ce n'est pas le cas, configurez le service avec le statut : en cours d'exécution et le type de démarrage : automatiquement.
Ouvrez la console Windows PowerShell et exécutez la commande : Enable-PSRemoting pour activer le service d'accès à distance PowerShell. Vous pouvez vérifier que PSRemoting est activé en exécutant la commande : Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}. Si vous ne recevez pas d'erreur, alors le service fonctionne.
Pour démarrer l'abonnement :
-
Ouvrez le Visionneur d'événements et cliquez sur Abonnement.
-
Une fenêtre popup apparaît. Cliquez sur Oui pour confirmer l'exécution automatique du service.
-
Cliquez avec le bouton droit et sélectionnez Créer un abonnement.
-
Ajoutez un nom d'abonnement.
-
Dans le journal de destination, sélectionnez ÉvénementsTransférés.
-
Sous le type d'abonnement et les ordinateurs sources, sélectionnez Initié par le collecteur.
-
Cliquez sur Sélectionner des ordinateurs et entrez le nom d'hôte de l'émetteur, puis cliquez sur OK pour appliquer. Si vous avez plusieurs DC, ajoutez-les à la liste.
-
Cliquez sur Sélectionner des événements et vérifiez que le niveau d'événement : Information est sélectionné.
-
Sélectionnez Par journaux et choisissez les journaux des événements de sécurité.
-
Pour réduire les nombreux événements, nous vous recommandons d'ajouter les identifiants d'événement que Cato utilise pour la sensibilisation de l'utilisateur : 4768,4769,4770,4624,5145,5140,4625,4647,4608
La capture d'écran suivante montre un exemple de fenêtre des propriétés d'abonnement :
Pour configurer le fichier des événements transférés pour utiliser les événements de sécurité :
-
Ouvrez le Visionneur d'événements et accédez à Journaux Windows > ÉvénementsTransférés
-
Cliquez avec le bouton droit sur ÉvénementsTransférés et cliquez sur Propriétés
-
Modifiez le chemin du journal vers le fichier %..\Security.evtx et cliquez sur OK
Cette section décrit comment configurer le DC en tant qu'émetteur.
Ouvrez la console Windows PowerShell et exécutez la commande : wevtutilgl security. Cette commande fournit des informations sur le journal des événements de sécurité. Copiez la chaîne channelAccess.
-
Allez à Server Manger > Outils > Gestion de la stratégie de groupe > Domaines > Contrôleur de domaines et cliquez sur Stratégie par défaut du contrôleur de domaines. Cliquez avec le bouton droit et cliquez sur Modifier ; quand la fenêtre de stratégie par défaut des contrôleurs de domaine s'ouvre, accédez à Configuration de l'ordinateur → Stratégies → Modèles administratifs → Composants Windows → Transfert d'événements → Configurer la cible Souscription Manager et définissez la valeur pour le gestionnaire de souscription cible : Serveur=http://<FQDN du collecteur>:5985/wsman/SubscriptionManager/WEC,Refresh=60
La capture d'écran suivante montre un exemple de gestionnaire de souscription pour le serveur “MyCollector”.
2. Allez à Configuration de l'ordinateur → Politiques → Modèles administratifs → Composants Windows → Service de journal d'événements → Sécurité → Configurer l'accès au journal, sélectionnez Activé et collez la chaîne channelAccess de la section ci-dessus dans le volet Accès au journal.
La capture d'écran suivante montre un exemple de configuration d'accès au journal avec la valeur channelAccess :
Allez à Server Manger > Outils > Utilisateurs et ordinateurs de l'annuaire actif > <Nom de domaine >Intégré, Cliquez avec le bouton droit sur le groupe Lecteurs de journaux d'événements et cliquez sur Propriétés. quand la fenêtre s'ouvre, allez à l'onglet Membres et ajoutez le compte du service réseau, puis cliquez sur OK.
Ouvrez la ligne de commande et exécutez la commande gpupdate /force pour mettre à jour le GPO. Les modifications de ce groupe nécessitent un redémarrage pour que WinRM applique les changements.
Lorsque vous avez terminé la configuration du collecteur et du transmetteur, allez sur le serveur Collecteur, ouvrez le Visionneuse d'événements et accédez à Journaux Windows > Événements transmis. Assurez-vous que vous pouvez voir les événements dans cette section.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.