Loading...

Come utilizzare la funzione Inoltro eventi di Windows (WEF) con l'agente Windows
Articoli tecnici ID:   KB77092
Ultima modifica:  16/11/2018
Con punteggio:


Ambiente

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

Riepilogo

In questo articolo viene descritto come utilizzare la funzione Inoltro eventi di Windows con SIEM e con l'agente Windows.

Soluzione

Inoltro eventi di Windows (WEF, Windows Event Forwarding) è una funzione disponibile nei sistemi operativi Microsoft, introdotta con Microsoft Vista, che è possibile configurare per inoltrare i registri da uno o più computer contenenti un'origine eventi a un sistema Windows centralizzato, generalmente denominato Raccolta eventi). McAfee Event Collector è stato progettato per leggere i registri raccolti e inviarli a un Receiver.

NOTA: Vista è il sistema operativo minimo richiesto sia in Raccolta eventi che nelle origini eventi.

Per configurare il proprio ambiente, procedere come indicato di seguito:

  1. Configurare i sistemi contenenti l'origine eventi per l'inoltro di eventi alla Raccolta eventi di Inoltro eventi di Windows.
  2. Installare l'agente nella Raccolta eventi di Inoltro eventi di Windows.
  3. Aggiungere un singolo host e in Host Name/IP (Nome host/Indirizzo IP), aggiungere l'indirizzo IP della Raccolta eventi.
  4. Creare una configurazione. Selezionare Registro eventi di Windows e specificare il nome della configurazione.
  5. Selezionare Forward Event (Inoltra evento) nella sezione Windows Event (Evento Windows).
     
    NOTA: Inoltro eventi consente di inoltrare gli eventi a registri differenti da Eventi inoltrati. Eventi inoltrati è l'impostazione predefinita.
     
  6. A questo punto sono disponibili due alternative:

    1. Selezionare WEF (IEW): se è necessaria la granularità di un'origine dati per ogni origine evento, selezionare la casella WEF (IEW).
    2. Non selezionare WEF (IEW) : se si dispone di più origini eventi (ad esempio la funzione Inoltro eventi può essere configurata come parte di una policy del gruppo Dominio e, in questo caso, il numero di origini eventi che stanno effettivamente inoltrando eventi è meno scontato), avere un'origine dati per ciascun evento potrebbe risultare difficile. In questo caso, lasciare la casella WEF (IEW) deselezionata. In questo modo tutti gli eventi vengono raccolti nell'origine dati dell'agente.
       
  7. Nel Receiver creare un'origine dati per Raccolta eventi. Questa operazione è necessaria per aprire il firewall sul Receiver e consentire la comunicazione tra l'agente e il Receiver. Le impostazioni sono le seguenti:

    1. Vendor (Fornitore): Microsoft
    2. Model(Modello): WMI Event Log (Registro eventi WMI)
    3. Data Retrieval (Recupero dati): MEF
    4. Name (Nome): DS Name (Nome DS)
    5. IP Address (Indirizzo IP): indirizzo IP del sistema in cui è installato l'agente
    6. Use Encryption (Usa cifratura): deve corrispondere a alla selezione effettuata dall'agente
NOTA: se non si seleziona l'opzione WEF (IEW) riportata sopra, non sarà necessario completare l'operazione successiva. 

Se per l'origine eventi è necessaria un'origine dati, è necessario creare le origini dati per ciascun sistema Windows in cui è installato l'agente e che sta installando eventi a tale server:
  1. Vendor (Fornitore): Microsoft
  2. Model(Modello): WMI Event Log (Registro eventi WMI)
  3. Data Retrieval (Recupero dati): MEF
  4. Name (Nome): DS Name (Nome DS)
  5. IP Address (Indirizzo IP): l'indirizzo IP non deve essere utilizzato
  6. Host ID (ID host): utilizzare il nome host del sistema Windows che inoltra i registri. Questo perché gli indirizzi IP dei sistemi contenenti le origini dati non sono negli eventi inoltrati. Gli eventi contengono solo i nomi degli host.
  7. Use Encryption (Usa cifratura): deve corrispondere a alla selezione effettuata dall'agente

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento