- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
この記事ではBroker VMのWindows Event Collector(WEC)を使用して、
Windowsサーバー(ドメインコントローラー)のイベントログを収集する方法について説明します。
Windowsのイベントログは、Windows OSのWindows Event Forwarding(WEF)により、
HTTPSでBroker VM(WEC)へ転送され、その後Cortex XDRに取り込まれます。
WEFについてはこちらを参照ください。
WECを使用することでIdentity AnalyticsなどによるID脅威保護に使用することが可能になります。
WECによって収集したデータによるAnalyticsはこちら から確認できます。
Broker VMの設定画面から対象のBroker VMを選択し、
[Add App] - [Windows Event Collector]を選択します。
"Collected Events"を見ると、Sourceに"Security"という名前でデフォルトの収集対象のイベントレベル、イベントIDが選択されています。
収集対象のイベントIDが他にある場合はこの画面で追加しますが、ここでは行いません。
TLS Version 1.2を選択し、[Activate]をクリックします。
Activateされ、"Subscription Manger Url"が生成されます。この内容をコピーして控えておきます。
Windows OS側で実施するサブスクリプションマネージャーの登録で必要になります。
"Define Client Certificate Export Password"にパスワードを入力します。
この後のダウンロードする証明書をWindowsサーバにインポートする際に必要になるので、
こちらも控えておきます。
[Download]をクリックします。
証明書がダウンロードされたのでこれを対象サーバーにコピーします。
Broker VMからエクスポートした証明書をダブルクリックします。
"ローカルコンピューター"を選択して「次へ」
ファイル名に対象の証明書のファイルパスが定義されているのを確認して、
「次へ」
"証明書の信頼に基づいて・・・"を選択して「次へ」
「完了」をクリックします。
「OK」をクリックします。
続いて登録の確認を行います。
「個人」-「証明書」
「信頼されたルート証明機関」-「証明書」
[個人]-[証明書]から証明書を右クリックし、
[すべてのタスク]-[機密キーの管理]をクリックします。
NETWORK SERVICEを追加し、[適用]、[OK]をクリックします。
Powershelで以下の通りコマンドを実行します。
Powershelで以下の通りコマンドを実行し、channelAccessに定義された値を控えておきます。
以下のコマンドで、控えておいた値を設定しwevtutilコマンドを実行します。
wevtutil sl security "/ca:<channelAccess value>(A;;0x1;;;S-1-5-20)"
[フォレスト]-[ドメイン]-[自社のドメイン]-[グループポリシーオブジェクト]を右クリックし[新規]をクリックします。
Windows Event Forwardingという名前を入力し、[OK]をクリックします。
作成したWindows Event Forwardingグループポリシーを右クリックし[編集]をクリックします。
[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティ設定]-[システムサービス]から
Windows Remote Management(WS-Management)をクリックします。
[このポリシーの設定を定義する]にチェックを入れ、[自動]を選択し、
[適用]、[OK]をクリックします。
[コンピューターの構成]-[ポリシー]-[管理用テンプレートローカルコンピューター]-[Windowsコンポーネントから
[イベント転送]をクリックします。
[ターゲットサブスクリプションマネージャーを構成する]を右クリックし[編集]をクリックします。
[有効]にチェックし、[表示]をクリックします。
Broker VMで生成されたSubscription Manger Urlを値に設定し[OK]をクリックします。
[コンピューターの構成]-[基本設定-[コントロールパネルの設定]-[ローカルユーザーとグループ]-
[新規作成]-[ローカルグループ]をクリックします。
グループ名で[Event Log Readers(ビルトイン)を入力し、
メンバーに[Network Service]を追加します。
必要に応じてアウトバウンドルール(送信の規則)に、TCP、リモートポート[5986]を設定したルールを追加してください。
[フォレスト]-[ドメイン]を右クリックし[既存のGPOのリンク]をクリックします。
グループポリシーオブジェクトからWindows Event Forwardingを選択し[OK]をクリックします。
gpupdate /forceでポリシーを更新します。
イベント転送確認のためGet-WinEventコマンドを実行します。
"WSManの操作 EventDeliveryが正常に完了しました"というメッセージが表示されれば、
正常にイベントが転送されことの確認になります。
Windows Event CollectorでLogs Received, Logs Sentでlps(logs per seconds)が表示されることを確認します。
datasetはmicrosoft_windows_rawになります。以下のように検索してみて、
ログが取り込まれていることを確認してください。
この手順ではドメイン配下にグループポリシーを適用しています。
特定のサーバーのログを収集したい時は、該当サーバー上でドメインコントローラ同様に、
上記手順内の
・証明書のインポート
・Network Serviceをグループに追加
・ローカルグループ Event Logs Groupの追加
・wevtutilコマンドの実行
の操作が必要になります。
Broker VMのアクティベートはこちら