Olá, pessoal, tudo bem?

 

 

Este conteúdo faz parte do exame AZ-801: Configurar serviços avançados híbridos do Windows Server. Recomendo a compra do livro Exam Ref AZ-801 Configuring Windows Server Hybrid Advanced Services (English Edition)do autor Orin Thomas para estudos desta certificação.

 

 

Windows Event Forwarding (WEF)

 

 

 

 

Poucos profissionais de TI sabem da existência deste recurso que foi introduzido no Windows Vista chamado Windows Event Forwarding (WEF). Ele lê qualquer log de eventos operacional ou administrativo em um dispositivo em sua organização e encaminha os eventos que você escolher para um servidor de coletor de eventos do Windows (WEC). Eu também não sabia deste recurso até ler este artigo do MVP Daniel Donda, no qual ele fala sobre Windows Event Forwarding para estratégia de alertas e detecções.

O controle dos registros de eventos é uma competência essencial para se dominar em todos os ambientes Windows. A cada segundo, atividades são registradas nos logs de eventos do Windows, servindo não apenas como um recurso de segurança, mas também como um suporte crucial para diagnóstico e resolução de problemas.

O WEF (Windows Event Forwarding) em português Encaminhamento de Eventos do Windows lê qualquer log de eventos operacionais ou administrativos em um dispositivo em sua organização e encaminha os eventos escolhidos para um servidor WEC (Windows Event Collector) em português Coletor de Eventos do Windows.

 

Existe duas formar de realizar o procedimento (Assinaturas):

 

1. Configurando assinaturas iniciadas pelo coletor de encaminhamento de eventos.

Usando esse método, o coletor entrará em contato com os computadores de origem (clientes) e solicitará quaisquer eventos que eles possam ter.

Recomendado para um pequeno número de clientes.

 

Assinaturas iniciadas pelo coletor de encaminhamento de eventos

 

2. Configurando assinaturas iniciadas pela origem do encaminhamento de eventos.

Usando esse método, os computadores de origem (clientes) ou encaminhadores transferem eventos para o coletor conforme necessário.

Recomendado para um grande número de clientes.

 

Assinaturas iniciadas pela origem do encaminhamento de eventos

 

Grande parte da configuração e feita usando o Visualizado de Eventos no Windows.

Configuração dos tipos de assinaturas do Encaminhamento de Eventos no Windows

 

Frequência os eventos WEF são entregues

 

 

 

 

As opções de entrega de eventos fazem parte dos parâmetros de configuração de assinatura do WEF, há três opções internas de entrega de assinatura: Normal, Minimizar Largura de Banda e Minimizar Latência. Um quarto catch-all chamado “Personalizado” está disponível, mas não pode ser selecionado ou configurado por meio da interface do usuário do WEF usando Visualizador de Eventos. A opção de entrega personalizada deve ser selecionada e configurada usando o aplicativo de linha de comando WECUTIL.EXE.

Opções de otimização de entrega de eventos Descrição
Normal Essa opção garante a entrega confiável de eventos e não tenta conservar a largura de banda. É a escolha apropriada, a menos que você precise de um controle mais rígido sobre o uso da largura de banda ou precise de eventos encaminhados entregues o mais rápido possível. Ele usa o modo pull delivery, loteia 5 itens por vez e define um tempo limite em lote de 15 minutos.
Minimizar a largura de banda Essa opção garante que o uso da largura de banda de rede para entrega de eventos seja estritamente controlado. É uma escolha apropriada se você quiser limitar a frequência de conexões de rede feitas para fornecer eventos. Ele usa o modo de entrega por push e define um tempo limite em lote de 6 horas. Além disso, ele usa um intervalo de pulsação de 6 horas.
Minimizar a latência Essa opção garante que os eventos sejam entregues com atraso mínimo. É uma escolha apropriada se você estiver coletando alertas ou eventos críticos. Ele usa o modo de entrega por push e define um tempo limite em lote de 30 segundos.

 

Opções de otimização de entrega de eventos

 

Requisitos

 

 

 

 

  • Necessário habilitar o WinRM (Gerenciamento Remoto do Windows) nos computadores encaminhadores de eventos (os clientes), utilize este artigo aqui para habilitar o WinRM por GPO ou veja no vídeo a maneira manual de habilitar.

WinRM (Gerenciamento Remoto do Windows) é a implementação do WS-Management Protocol da Microsoft para acessar e trocar informações.

Observação: Se seus clientes estiverem executando o Windows Server 2012 e superior, o WinRM está habilitado por padrão neles, basta executar o comando winrm get winrm/config para verificar.

Saída do comando winrm get winrm/config no CMD

 

  • Necessário habilitar no computador coletor direitos para ler os logs desses computadores.

Podemos usar a própria conta de computador do coletor de eventos para autenticação ou podemos criar uma conta de usuário no Active Directory e usá-la; de qualquer forma, funciona da mesma forma.

Seguindo o princípio da regra de privilégios mínimos, eu recomendo adicionar a conta de computador (coletor) ao grupo local Leitores de log de eventos (Event log readers) nos computadores encaminhadores.

Conta de computador (coletor) adicionado ao grupo local Leitores de log de eventos

 

  • Active Directory configurado em seu ambiente. Será necessária uma familiaridade com ele. Acesse aqui o curso grátis no Microsoft Learn sobre Active Directory Domain Services.

 

  • GPO – Será necessária uma familiaridade com os Objetos de Diretiva de Grupo. Acesse aqui o curso grátis no Microsoft Learn sobre como Implementar Objetos de Política de Grupo.

 

GitHub

 

 

 

 

Baixe aqui os comandos apresentados no vídeo.

 

Vídeo

 

 

 

 

No vídeo, vamos explorar o Windows Event Forwarding (WEF).
Vou mostrar como configurar assinaturas iniciadas pelo coletor e pela origem, discutir as opções de entrega de eventos e explicar os requisitos necessários, incluindo a habilitação do WinRM e a configuração de GPO.
Não perca esta oportunidade de aprimorar suas habilidades e garantir uma gestão eficiente e segura dos seus ambientes Windows!
Assista agora e descubra como o Windows Event Forwarding pode revolucionar sua estratégia de alerta e detecções!

Referências

 

 

 

 

https://danieldonda.com/windows-event-forwarding-para-estrategia-de-alertas-e-deteccoes/

https://learn.microsoft.com/windows/security/operating-system-security/device-management/use-windows-event-forwarding-to-assist-in-intrusion-detection?WT.mc_id=AZ-MVP-5003815

https://learn.microsoft.com/pt-br/windows-server/administration/windows-commands/wecutil?WT.mc_id=AZ-MVP-5003815

https://learn.microsoft.com/pt-br/windows/win32/winrm/installation-and-configuration-for-windows-remote-management?WT.mc_id=AZ-MVP-5003815

 

Não perca as novidades!

Inscreva-se no meu canal do YouTube e ative o sino de notificações para ficar por dentro de tudo!

No responses yet

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Microsoft MVP
Siga e curta!
Follow by Email
YouTube
YouTube
Set Youtube Channel ID
LinkedIn
LinkedIn
Share
Entre no meu grupo do Telegram
Categorias
Arquivo
Inteligência artificial em seu servidor.