Przekazane zdarzenia

Aby lepiej zrozumieć, jakie są przekazywane zdarzenia, warto zrozumieć, w jaki sposób skonfigurować i skonfigurować moduł WEF (Windows Event Forwarding).

Podstawowe informacje na temat przekazywania zdarzeń Windows

Windows Event Forwarding (WEF) jest potężnym rozwiązaniem do przekazywania dzienników, które jest zintegrowane w nowoczesnych wersjach systemu Microsoft Windows. Szczegółowa dokumentacja WEF jest dostępna na stronie Dokumentacja Microsoft. Poniższa lista zawiera podsumowanie WEF:

  • Windows Event Forwarding umożliwia wysyłanie dzienników zdarzeń za pośrednictwem mechanizmu push lub pull, do jednego lub kilku scentralizowanych serwerów Windows Event Collector (WEC).
  • WEF jest bezagentowy i opiera się na rodzimych komponentach, które są zintegrowane z systemem operacyjnym. WEF jest obsługiwany zarówno dla stacji roboczych, jak i dla kompilacji serwera w systemie Windows.
  • Produkt WEF obsługuje uwierzytelnianie wzajemne i szyfrowanie za pomocą protokołu Kerberos (w domenie) lub może zostać rozszerzony przy użyciu protokołu TLS (dodatkowe uwierzytelnianie lub dla komputerów niepołączonych z domeną).
  • Produkt WEF posiada bogaty język oparty na języku XML, który umożliwia kontrolowanie, które identyfikatory zdarzeń są wprowadzane, pomijanie hałaśliwych zdarzeń, wspólne zdarzenia wsadowe i konfigurowanie częstotliwości wysyłania. Kod XML subskrypcji obsługuje podzbiór XPath, który upraszcza proces pisania wyrażeń w celu wybrania interesujących go zdarzeń.

Jakie są ograniczenia serwera WEC?

Trzy czynniki ograniczają skalowalność serwerów WEC. Ogólną regułą dla stabilnego serwera WEC na sprzęcie towarowym jest “10k x 10k," oznacza nie więcej niż 10 000 jednocześnie aktywnych klientów WEF na serwer WEC i nie więcej niż 10 000 zdarzeń na sekundę.
dyskowe we/wy
Serwer WEC nie przetwarza ani nie sprawdza poprawności odebranego zdarzenia, ale buforuje odebrane zdarzenie, a następnie rejestruje je w lokalnym pliku dziennika zdarzeń (plik EVTX). Szybkość rejestrowania się w pliku EVTX jest ograniczona przez szybkość zapisu na dysku. Izolowanie pliku EVTX do własnej macierzy lub używanie dysków o dużej szybkości może zwiększyć liczbę zdarzeń na sekundę, które może odbierać pojedynczy serwer WEC.
Połączenia sieciowe
Podczas gdy źródło WEF nie utrzymuje trwałego, trwałego połączenia z serwerem WEC, nie jest ono natychmiast rozłączone po wysłaniu zdarzeń. Oznacza to, że liczba źródeł WEF, które mogą jednocześnie łączyć się z serwerem WEC, ogranicza się do otwartych portów TCP dostępnych na serwerze WEC.
Wielkość rejestru
Dla każdego unikalnego urządzenia, które łączy się z subskrypcją WEF, tworzony jest klucz rejestru (odpowiadający nazwie FQDN klienta WEF), w którym zapisywane są informacje o pulsie źródłowym i źródłowym. Jeśli te informacje nie zostaną wyczyszczone w celu usunięcia nieaktywnych klientów, ten zestaw kluczy rejestru może powiększać się w czasie do niezarządzalnej wielkości.
  • Gdy subskrypcja ma więcej niż 1000 źródeł WEF, łączy się z nią przez cały okres eksploatacji (źródła WEF w czasie życia), węzeł Subskrypcje w przeglądarce zdarzeń może nie odpowiadać na kilka minut, ale będzie działać normalnie po jego użyciu.
  • W przypadku ponad 50 000 życia źródeł WEF przeglądarka zdarzeń nie jest już opcją i konieczne jest użycie produktu wecutil.exe (dołączonego do systemu Windows) w celu skonfigurowania subskrypcji i zarządzania nimi.
  • W przypadku więcej niż 100 000 źródeł WEF życia rejestr nie jest już dostępny do odczytu, a serwer WEC może wymagać odbudowania.

Konfiguracja WinCollect

Po skonfigurowaniu modułu przekazującego zdarzenia systemu Windows można skonfigurować agenta WinCollect w celu gromadzenia zdarzeń WEF:
  • Zainstaluj agenta WinCollect 10 na serwerach IBM Event Collector (WEC).
  • Skonfiguruj źródło zdarzeń Windows Events (domyślne) i wybierz opcję Forwarded Events (WEF) (Przekazane zdarzenia (WEF)) jako kanał.
  • Wdróż zmiany.
Uwaga:
  • Maksymalny poziom EPS obsługiwany przez agenta w środowisku WEF to 10 000 EPS.
  • Chociaż agent WinCollect wyświetla tylko jedno źródło w interfejsie użytkownika, to źródło nasłuchuje i przetwarza zdarzenia potencjalnie setek subskrypcji zdarzeń. Jedno źródło na liście agentów jest przeznaczone dla wszystkich subskrypcji zdarzeń. Agent rozpoznaje zdarzenie z subskrypcji, przetwarza treść, a następnie wysyła zdarzenie Syslog do programu QRadar ®.
  • Przekazane zdarzenia są wyświetlane jako Windows Auth @ < nazwa_hosta> na karcie Log Activity (Działanie rejestrowania).

Dodatkowe informacje

Więcej informacji na temat zarządzania dużymi implementacjami kolekcji zdarzeń Windows można znaleźć pod adresem https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx?Attach=1&Type=SlidesPDF&ID=1426.

Więcej informacji na temat korzystania z programu Windows Event Forwarding w celu uzyskania pomocy przy wykrywaniu włamań można znaleźć pod adresem https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection.