Weitergeleitete Ereignisse

Um besser zu verstehen, was weitergeleitete Ereignisse sind, ist es hilfreich, zu verstehen, wie Windows Event Forwarding (WEF) konfiguriert und eingerichtet wird.

Grundlegende Informationen zur Windows-Ereignisweiterleitung

Windows Event Forwarding (WEF) ist eine leistungsfähige Protokollweiterleitungslösung, die in moderne Versionen von Microsoft Windowsintegriert ist. Eine ausführliche Dokumentation zu WEF finden Sie auf der Microsoft-Dokumentationsseite. Die folgende Liste enthält eine Zusammenfassung des WEF:

  • Windows Event Forwarding bietet die Möglichkeit, Ereignisprotokolle über einen Push-oder Pull-Mechanismus an einen oder mehrere zentrale WEC-Server (Windows Event Collector) zu senden.
  • WEF ist agentenfrei und basiert auf nativen Komponenten, die in das Betriebssystem integriert sind. WEF wird für Workstation-und Server-Builds von Windows unterstützt.
  • WEF unterstützt gegenseitige Authentifizierung und Verschlüsselung über Kerberos (in einer Domäne) oder kann durch die Verwendung von TLS (zusätzliche Authentifizierung oder für Maschinen, die nicht mit Domänen verknüpft sind) erweitert werden.
  • WEF verfügt über eine umfangreiche XML-basierte Sprache, um zu steuern, welche Ereignis-IDs übergeben werden, verrauschte Ereignisse zu unterdrücken, Stapelereignisse zusammen zu verarbeiten und die Übergabehäufigkeit zu konfigurieren. Abonnement-XML unterstützt eine Untergruppe von XPath, was den Prozess des Schreibens von Ausdrücken zur Auswahl der Ereignisse, an denen Sie interessiert sind, vereinfacht.

Welche Einschränkungen gelten für den WEC-Server?

Drei Faktoren begrenzen die Skalierbarkeit von WEC-Servern. Die allgemeine Regel für einen stabilen WEC-Server auf Standardhardware ist “10k x 10k, d. h. nicht mehr als 10.000 gleichzeitig aktive WEF-Clients pro WEC-Server und nicht mehr als 10.000 Ereignisse pro Sekunde durchschnittliches Ereignisvolumen.
Platten-E/A
Der WEC-Server verarbeitet oder prüft das empfangene Ereignis nicht, sondern puffert es und protokolliert es anschließend in einer lokalen Ereignisprotokolldatei (EVTX-Datei). Die Geschwindigkeit der Protokollierung in der EVTX-Datei wird durch die Schreibgeschwindigkeit der Platte begrenzt. Das Isolieren der EVTX-Datei auf ihrem eigenen Array oder die Verwendung von Hochgeschwindigkeitsplatten kann die Anzahl der Ereignisse pro Sekunde erhöhen, die ein einzelner WEC-Server empfangen kann.
Netzverbindungen
Während eine WEF-Quelle keine permanente, persistente Verbindung zum WEC-Server aufrechterhält, wird die Verbindung nach dem Senden von Ereignissen nicht sofort getrennt. Dies bedeutet, dass die Anzahl der WEF-Quellen, die gleichzeitig eine Verbindung zum WEC-Server herstellen können, auf die offenen TCP-Ports begrenzt ist, die auf dem WEC-Server verfügbar sind.
Registry-Größe
Für jede eindeutige Einheit, die eine Verbindung zu einer WEF-Subskription herstellt, wird ein Registrierungsschlüssel (der dem FQDN des WEF-Clients entspricht) erstellt, um Lesezeichen und Quellenüberwachungssignalinformationen zu speichern. Wenn diese Informationen nicht bereinigt werden, um inaktive Clients zu entfernen, kann diese Gruppe von Registrierungsschlüsseln im Laufe der Zeit auf eine nicht verwaltbare Größe anwachsen.
  • Wenn eine Subskription über mehr als 1000 WEF-Quellen verfügt, die während ihrer Betriebslebensdauer eine Verbindung zu ihr herstellen (WEF-Quellen für die Lebensdauer), kann der Knoten 'Subskriptionen' in der Ereignisanzeige einige Minuten lang nicht mehr reagieren, funktioniert aber normalerweise danach.
  • Bei mehr als 50.000 WEF-Laufzeitquellen ist die Ereignisanzeige keine Option mehr und Sie müssen wecutil.exe (in Windows enthalten) verwenden, um Subskriptionen zu konfigurieren und zu verwalten.
  • Bei mehr als 100.000 WEF-Laufzeitquellen ist die Registry nicht mehr lesbar und der WEC-Server muss möglicherweise erneut erstellt werden.
Große Einsatzbeschränkungen
Bei großen Bereitstellungen, z. B. bei 40.000 bis 100.000 Quellcomputern, empfiehlt es sich, mehr als einen Collector mit 2.000 bis maximal 4.000 Clients pro Collector einzusetzen.

Es wird außerdem empfohlen, mindestens 16 GB RAM und vier Prozessoren auf dem Collector zu installieren, um eine durchschnittliche Last von 2.000 bis 4.000 Clients mit einem oder zwei konfigurierten Abonnements zu unterstützen. Schnelle Festplatten werden empfohlen, und das ForwardedEvents kann auf einer anderen Festplatte gespeichert werden, um die Leistung zu verbessern.

Weitere Informationen finden Sie unter Bewährte Verfahren zur Konfiguration der EventLog-Weiterleitung in Windows Server.

WinCollect -Konfiguration

Nach der Konfiguration der Windows-Ereignisweiterleitung können Sie den WinCollect -Agenten für die Erfassung von WEF-Ereignissen konfigurieren:
  • Installieren Sie den WinCollect 10-Agenten auf Ihren WEC-Servern (Windows Event Collector).
  • Konfigurieren Sie eine Windows-Ereignisquelle (Standard) und wählen Sie Weitergeleitete Ereignisse (WEF) als Kanal aus.
  • Implementieren Sie Ihre Änderungen.
Hinweis:
  • Der Agent unterstützt maximal 10.000 EPS in einer WEF-Umgebung.
  • Obwohl der Agent WinCollect nur eine einzige Quelle in der Benutzerschnittstelle anzeigt, ist die Quelle empfangsbereit und verarbeitet Ereignisse für potenziell Hunderte von Ereignissubskriptionen. Eine Quelle in der Agentenliste gilt für alle Ereignissubskriptionen. Der Agent erkennt das Ereignis aus der Subskription, verarbeitet den Inhalt und sendet anschließend das Syslog-Ereignis an QRadar®.
  • Weitergeleitete Ereignisse werden auf der Registerkarte Protokollaktivität als Windows Auth @ < Hostname> angezeigt.

Weitere Informationen

Weitere Informationen über die Verwaltung großer Implementierungen der Windows-Ereignissammlung finden Sie unter https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx?Attach=1&Type=SlidesPDF&ID=1426.

Weitere Informationen über die Verwendung der Windows-Ereignisweiterleitung zur Unterstützung bei der Erkennung von Eindringlingen finden Sie unter https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection.