Sucesos reenviados

Para comprender mejor qué son los sucesos reenviados, es útil comprender cómo configurar y configurar el reenvío de sucesos de Windows (WEF).

Aspectos básicos del reenvío de sucesos de Windows

Windows Event Forwarding (WEF) es una potente solución de reenvío de registros que se integra en las versiones modernas de Microsoft Windows. La documentación detallada de WEF está disponible en la página Documentación de Microsoft. La siguiente lista es un resumen de WEF:

  • El reenvío de sucesos de Windows proporciona la posibilidad de enviar registros de sucesos, ya sea a través de un mecanismo de envío o extracción, a uno o más servidores centralizados del recopilador de sucesos de Windows (WEC).
  • WEF está libre de agentes y se basa en componentes nativos que están integrados en el sistema operativo. WEF está soportado para las compilaciones de estación de trabajo y servidor de Windows.
  • WEF soporta la autenticación y el cifrado mutuos a través de Kerberos (en un dominio) o se puede ampliar a través del uso de TLS (autenticación adicional o para máquinas no unidas a dominio).
  • WEF tiene un lenguaje basado en XML enriquecido para controlar qué ID de suceso se envían, suprimir sucesos ruidosos, sucesos por lotes juntos y configurar la frecuencia de envío. El XML de suscripción da soporte a un subconjunto de XPath, que simplifica el proceso de escribir expresiones para seleccionar los sucesos en los que está interesado.

¿Cuáles son las limitaciones del servidor WEC?

Tres factores limitan la escalabilidad de los servidores WEC. La regla general para un servidor WEC estable en hardware básico es “10k x 10k", lo que significa no más de 10.000 clientes WEF activos simultáneamente por servidor WEC y no más de 10.000 sucesos por segundo de volumen de sucesos promedio.
E/S de disco
El servidor WEC no procesa ni valida el suceso recibido, sino que almacena en el almacenamiento intermedio el suceso recibido y, a continuación, lo registra en un archivo de registro de sucesos local (archivo EVTX). La velocidad de registro en el archivo EVTX está limitada por la velocidad de grabación de disco. Aislar el archivo EVTX en su propia matriz o utilizar discos de alta velocidad puede aumentar el número de sucesos por segundo que puede recibir un único servidor WEC.
Conexiones de red
Aunque un origen WEF no mantiene una conexión permanente y persistente con el servidor WEC, no se desconecta inmediatamente después de enviar sucesos. Esto significa que el número de orígenes WEF que pueden conectarse simultáneamente al servidor WEC está limitado a los puertos TCP abiertos disponibles en el servidor WEC.
Tamaño de registro
Para cada dispositivo exclusivo que se conecta a una suscripción WEF, se crea una clave de registro (correspondiente al FQDN del cliente WEF) para almacenar información de marcador y de latido de origen. Si esta información no se poda para eliminar clientes inactivos, este conjunto de claves de registro puede crecer a un tamaño inmanejable a lo largo del tiempo.
  • Cuando una suscripción tiene más de 1000 orígenes WEF conectados a ella durante su vida útil operativa (orígenes WEF de vida útil), el nodo Suscripciones en el Visor de sucesos puede dejar de responder durante unos minutos, pero funcionará normalmente después.
  • En más de 50.000 orígenes WEF de por vida, el Visor de sucesos ya no es una opción y debe utilizar wecutil.exe (incluido con Windows) para configurar y gestionar suscripciones.
  • En más de 100.000 orígenes WEF de por vida, el registro ya no es legible y es posible que sea necesario reconstruir el servidor WEC.
Grandes limitaciones de despliegue
Para implementaciones grandes, por ejemplo, si implementa de 40.000 a 100.000 equipos fuente, se recomienda que implemente más de un recopilador que tenga de 2.000 a no más de 4.000 clientes por recopilador.

Además, se recomienda instalar al menos 16 GB de RAM y cuatro procesadores en el recopilador para admitir una carga promedio de 2.000 a 4.000 clientes que tengan una o dos suscripciones configuradas. Se recomiendan discos rápidos, y el registro ForwardedEvents se puede poner en otro disco para un mejor rendimiento.

Para obtener más información, consulte Prácticas recomendadas para configurar el reenvío de EventLog en Windows Server.

Configuración de WinCollect

Después de configurar el reenvío de sucesos de Windows, puede configurar el agente WinCollect para recopilar sucesos WEF:
  • Instale el agente de WinCollect 10 en los servidores de Windows Event Collector (WEC).
  • Configure un origen Sucesos de Windows (predeterminado) y seleccione Sucesos reenviados (WEF) como canal.
  • Despliegue sus cambios.
Nota:
  • El EPS máximo soportado por el agente en un entorno WEF es de 10.000 EPS.
  • Aunque el agente de WinCollect sólo muestra un único origen en la interfaz de usuario, el origen escucha y procesa sucesos para cientos potencialmente de suscripciones de sucesos. Un origen de la lista de agentes es para todas las suscripciones de sucesos. El agente reconoce el suceso de la suscripción, procesa el contenido y, a continuación, envía el suceso Syslog a QRadar®.
  • Los sucesos reenviados se muestran como Windows Auth @ < nombre_host> en la pestaña Actividad de registro .

Información adicional

Para obtener más información sobre la gestión de grandes implementaciones de Windows Event Collection, consulte https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx?Attach=1&Type=SlidesPDF&ID=1426.

Para obtener más información sobre el uso del reenvío de eventos de Windows para ayudar con la detección de intrusiones, consulte https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection.