Eventos Encaminhados

Para entender melhor quais são os eventos encaminhados, é útil entender como configurar e configurar o Windows Event Forwarding (WEF).

Noções básicas de encaminhamento de eventos do Windows

O Windows Event Forwarding (WEF) é uma solução de encaminhamento de log poderosa que está integrada em versões modernas do Microsoft Windows. A documentação detalhada do WEF está disponível na página Documentação da Microsoft. A lista a seguir é um resumo do WEF:

  • O Windows Event Forwarding fornece a capacidade de enviar logs de eventos, por meio de um mecanismo push ou pull, para um ou mais servidores Windows Event Collector (WEC) centralizados.
  • O WEF é isento de agente e conta com componentes nativos que são integrados ao sistema operacional. O WEF é suportado para as construções de estação de trabalho e servidor do Windows.
  • O WEF suporta autenticação e criptografia mútuas por meio do Kerberos (em um domínio) ou pode ser estendido por meio do uso do TLS (autenticação adicional ou para máquinas não unidas por domínio).
  • O WEF possui uma rica linguagem baseada em XML para controlar quais IDs de eventos são enviados, suprimir eventos ruidosos, agrupar eventos em lote e configurar a frequência de envio. O XML de assinatura suporta um subconjunto de XPath, que simplifica o processo de gravação de expressões para selecionar os eventos de seu interesse.

Quais são as limitações do servidor WEC?

Três fatores limitam a escalabilidade de servidores WEC. A regra geral para um servidor WEC estável em hardware de commodity é de "10k x 10k", significando no máximo 10.000 Clientes WEF ativos simultaneamente por servidor WEC e no máximo 10.000 eventos por segundo em média para um volume de evento.
E/S de disco
O servidor WEC não processa nem valida o evento recebido mas, em vez disso, armazena em buffer o evento recebido e, em seguida, registra-o em um arquivo de log de eventos local (arquivo EVTX). A velocidade de criação de log para o arquivo EVTX é limitada pela velocidade de gravação do disco. Isolar o arquivo EVTX para a sua própria matriz ou usar discos de alta velocidade pode aumentar o número de eventos por segundo que um único servidor WEC pode receber.
Conexões de Rede
Embora uma fonte WEF não mantenha uma conexão permanente e persistente com o servidor WEC, ela não se desconecta imediatamente após enviar eventos. Isso significa que o número de origens do WEF que podem se conectar simultaneamente ao servidor WEC é limitado às portas TCP abertas disponíveis no servidor WEC.
Tamanho do registro
Para cada dispositivo exclusivo que se conecta a uma assinatura do WEF, é criada uma chave de registro (correspondente ao FQDN do Cliente WEF) para armazenar informações de pulsação de marcador e de origem. Se essas informações não são limpas para remover clientes inativos, este conjunto de chaves de registro pode crescer para um tamanho não gerenciável ao longo do tempo.
  • Quando uma assinatura tem mais de 1.000 fontes WEF que se conectam a ela ao longo de seu tempo de vida operacional (fontes WEF vitalícias), o nó Assinaturas no Visualizador de Eventos pode se tornar irresponsivo por alguns minutos, mas funcionará normalmente em seguida.
  • Em mais de 50.000 origens WEF de tempo de vida, o Event Viewer não é mais uma opção e você deve usar o wecutil.exe (incluído com o Windows) para configurar e gerenciar assinaturas.
  • Em mais de 100.000 fontes WEF vitalícias, o registro não é mais legível e o servidor WEC pode precisar ser reconstruído.
Grandes limitações de implementação
Para implantações grandes, por exemplo, se você implantar de 40.000 a 100.000 computadores de origem, é recomendável implantar mais de um coletor com 2.000 a 4.000 clientes por coletor.

Além disso, recomenda-se que você instale pelo menos 16 GB de RAM e quatro processadores no coletor para suportar uma carga média de 2.000 a 4.000 clientes que tenham uma ou duas assinaturas configuradas. Recomenda-se o uso de discos rápidos, e o registro ForwardedEvents pode ser colocado em outro disco para melhorar o desempenho.

Para obter mais informações, consulte Prática recomendada para configurar o encaminhamento de EventLog no Windows Server.

Configuração do WinCollect

Depois de configurar o Windows Event Forwarding, é possível configurar o agente WinCollect para coletar eventos do WEF:
  • Instale o agente WinCollect 10 em seus servidores Windows Event Collector (WEC).
  • Configure uma fonte de Eventos do Windows (padrão) e selecione Eventos Encaminhados (WEF) como o canal.
  • Implemente suas mudanças.
Observação:
  • O EPS máximo suportado pelo Agente em um ambiente WEF é de 10.000 EPS.
  • Embora o agente WinCollect exiba apenas uma única origem na interface com o usuário, a origem atende e processa eventos para potencialmente centenas de assinaturas de eventos. Uma fonte na lista de agentes é para todas as assinaturas de eventos. O agente reconhece o evento por meio da assinatura, processa o conteúdo e, em seguida, envia o evento Syslog para QRadar®.
  • Os eventos encaminhados são exibidos como Windows Auth @ <hostname> na guia Atividade de log.

Informações adicionais

Para obter mais informações sobre o gerenciamento de grandes implementações da Coleção de Eventos do Windows, consulte https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx?Attach=1&Type=SlidesPDF&ID=1426.

Para obter mais informações sobre o uso do encaminhamento de eventos do Windows para ajudar na detecção de intrusão, consulte https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection.