Loading...

Como usar o Encaminhamento de eventos do Windows (WEF) com o Windows Agent
Artigos técnicos ID:   KB77092
Última modificação:  16/11/2018
Classificação:


Ambiente

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

Resumo

Este artigo descreve como configurar o Encaminhamento de eventos do Windows (WEF) com SIEM usando o Windows Agent.

Solução

O Encaminhamento de eventos do Windows (WEF) é um recurso em sistemas operacionais da Microsoft (introduzido no Microsoft Vista) que você pode configurar para encaminhar logs de um ou vários computadores de origem de eventos para um sistema Windows centralizado (geralmente, chamado de coletor de eventos). O McAfee Event Collector foi projetado para ler esses logs agrupados e enviá-los a um receptor.

NOTA: o Vista é o sistema operacional mínimo exigido para o coletor de eventos ou as origens de eventos.

Para configurar o ambiente:

  1. Configure os sistemas de origem de eventos para encaminhar os eventos para o coletor de eventos do WEF.
  2. Instale o Agent no Coletor de eventos do WEF.
  3. Adicione um único host e, em Nome/IP do host, adicione o endereço IP do coletor de eventos.
  4. Crie uma configuração. Selecione Log de eventos do Windows e nomeie a configuração.
  5. Selecione Encaminhar evento na área de eventos do Windows.
     
    NOTA: o WEF pode encaminhar para logs que não sejam eventos encaminhados. Eventos encaminhados é o padrão. 
     
  6. Neste ponto, você tem duas opções:

    1. Selecionar o WEF - se você necessita da granularidade de uma origem de dados por origem de eventos, marque a caixa WEF.
    2. Não selecionar o WEF - se você tem muitas origens de eventos (por exemplo, o Encaminhamento de eventos pode ser configurado como parte de uma política de grupo de domínio, e fazer isso pode tornar menos óbvia a quantidade de origens de eventos que estão realmente encaminhando eventos), então, ter uma origem de dados para cada origem de eventos pode ser difícil. Neste caso, deixe a caixa WEF desmarcada. Dessa maneira, todos os eventos serão agrupados na origem de dados do Agent. 
       
  7. No receptor, crie uma origem de dados para o coletor de eventos. Essa é uma etapa necessária para abrir o firewall no receptor a fim de permitir a comunicação entre o agente e o receptor. As configurações são as seguintes:

    1. Fornecedor: Microsoft
    2. Modelo: Log de eventos WMI
    3. Recuperação de dados: MEF
    4. Nome: Nome da origem de dados
    5. Endereço IP: IP do sistema com o agente instalado
    6. Usar criptografia: corresponde o que foi marcado pelo agente
NOTA: se você não tiver selecionado a opção WEF acima, não é necessário realizar a próxima etapa. 

Se precisar de uma origem de dados por origem de eventos, crie origens de dados para cada um dos sistemas Windows que têm o Agent instalado e que estão encaminhando eventos para o servidor:
  1. Fornecedor: Microsoft
  2. Modelo: Log de eventos WMI
  3. Recuperação de dados: MEF
  4. Nome: Nome da origem de dados
  5. Endereço IP: não usar IP
  6. ID do host: use o nome do host do sistema Windows que está encaminhando os logs. Isso ocorre porque os endereços IP dos sistemas de origem de eventos não estão nos eventos encaminhados. Os eventos contêm apenas os nomes de host.
  7. Usar criptografia: corresponde o que foi marcado pelo agente

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento