Evénements réacheminés

Pour mieux comprendre ce que sont les événements transférés, il est utile de comprendre comment configurer et configurer Windows Event Forwarding (WEF).

Concepts de base de la transmission d'événements Windows

Windows Event Forwarding (WEF) est une puissante solution de transfert de journaux intégrée dans les versions modernes de Microsoft Windows. La documentation détaillée de WEF est disponible sur la page Documentation Microsoft. La liste suivante est un récapitulatif de WEF :

  • Windows Event Forwarding permet d'envoyer des journaux d'événements, via un mécanisme d'envoi ou d'extraction, à un ou plusieurs serveurs WEC (Windows Event Collector) centralisés.
  • WEF est sans agent et s'appuie sur des composants natifs intégrés au système d'exploitation. WEF est pris en charge pour les générations de poste de travail et de serveur de Windows.
  • WEF prend en charge l'authentification mutuelle et le chiffrement via Kerberos (dans un domaine) ou peut être étendu via l'utilisation de TLS (authentification supplémentaire ou pour les machines non liées à un domaine).
  • WEF dispose d'un langage XML riche pour contrôler les ID d'événement soumis, supprimer les événements bruyants, regrouper les événements par lots et configurer la fréquence de soumission. Le XML d'abonnement prend en charge un sous-ensemble de XPath, ce qui simplifie le processus d'écriture des expressions pour sélectionner les événements qui vous intéressent.

Limitations du serveur WEC

Trois facteurs limitent l'évolutivité des serveurs WEC. La règle générale pour un serveur WEC stable sur du matériel de base est 10k x 10k, ce qui signifie pas plus de 10 000 clients WEF actifs simultanément par serveur WEC et pas plus de 10 000 événements par seconde en moyenne.
E-S de disque
Le serveur WEC ne traite ni ne valide l'événement reçu, mais le met en mémoire tampon puis l'enregistre dans un fichier journal d'événements local (fichier EVTX). La vitesse de journalisation dans le fichier EVTX est limitée par la vitesse d'écriture du disque. Isoler le fichier EVTX dans sa propre matrice ou utiliser des disques à haute vitesse peut augmenter le nombre d'événements par seconde qu'un seul serveur WEC peut recevoir.
Connexions réseau
Bien qu'une source WEF ne maintienne pas une connexion permanente et persistante au serveur WEC, elle ne se déconnecte pas immédiatement après avoir envoyé des événements. Cela signifie que le nombre de sources WEF pouvant se connecter simultanément au serveur WEC est limité aux ports TCP ouverts disponibles sur le serveur WEC.
Taille du registre
Pour chaque dispositif unique qui se connecte à un abonnement WEF, une clé de registre (correspondant au nom de domaine complet du client WEF) est créée pour stocker les informations de signet et de signal de présence source. Si ces informations ne sont pas élaguées pour supprimer les clients inactifs, cet ensemble de clés de registre peut atteindre une taille ingérable au fil du temps.
  • Lorsqu'un abonnement est connecté à plus de 1000 sources WEF au cours de sa durée de vie opérationnelle (sources WEF à vie), le nœud Abonnements de l'afficheur d'événements peut ne plus répondre pendant quelques minutes, mais fonctionnera normalement par la suite.
  • Avec plus de 50 000 sources WEF à vie, l'Afficheur d'événements n'est plus une option et vous devez utiliser wecutil.exe (inclus avec Windows) pour configurer et gérer les abonnements.
  • Avec plus de 100 000 sources WEF à vie, le registre n'est plus lisible et le serveur WEC peut devoir être reconstruit.
Limites de déploiement importantes
Pour les déploiements importants, par exemple si vous déployez 40 000 à 100 000 ordinateurs sources, il est recommandé de déployer plus d'un collecteur avec 2 000 à 4 000 clients par collecteur.

Il est également recommandé d'installer au moins 16 Go de RAM et quatre processeurs sur le collecteur pour supporter une charge moyenne de 2 000 à 4 000 clients ayant un ou deux abonnements configurés. Des disques rapides sont recommandés, et le journal ForwardedEvents peut être placé sur un autre disque pour de meilleures performances.

Pour plus d'informations, voir Best practice for configuring EventLog forwarding in Windows Server.

Configuration de WinCollect

Après avoir configuré Windows Event Forwarding, vous pouvez configurer l'agent WinCollect pour collecter des événements WEF:
  • Installez l'agent WinCollect 10 sur vos serveurs Windows Event Collector (WEC).
  • Configurez une source Windows Events (par défaut) et sélectionnez Forwarded Events (WEF) comme canal.
  • Déployez vos modifications.
Remarque :
  • L'EPS maximal pris en charge par l'agent dans un environnement WEF est 10 000.
  • Bien que l'agent WinCollect n'affiche qu'une seule source dans l'interface utilisateur, la source écoute et traite les événements pour des centaines d'abonnements à des événements. Une source dans la liste des agents est pour tous les abonnements aux événements. L'agent reconnaît l'événement à partir de l'abonnement, traite le contenu, puis envoie l'événement Syslog à QRadar®.
  • Les événements réacheminés sont affichés comme Windows Auth @ <hostname> dans l'onglet Activité du journal.

Renseignements supplémentaires

Pour plus d'informations sur la gestion de grandes implémentations de Windows Event Collection, voir https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx ?Attach=1&Type=SlidesPDF&ID=1426.

Pour plus d'informations sur l'utilisation de Windows Event Forwarding pour faciliter la détection des intrusions, voir https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection.