Skip to content

Cum să colectați date din jurnalul de securitate Windows

În această pagină descriem cum se colectează evenimente din sursa de date Windows Security.

Trebuie să fiți conectat la interfața web CYBERQUEST cu un utilizator cu drepturi administrative.

Navigați la "Settings > Management > Data Source Manager".

Alt text

Această pagină conține toate sursele de date adăugate în aplicația CYBERQUEST.

Alt text

Completați formularul

Apăsați butonul "Add data-source" și completați următorul formular:

Alt text

DataSource Type: Selectați sursa de date "WindowsOS/ Security Log (LogName:Security)";

DataSource Information: Acest câmp este completat automat cu informații despre sursa de date;

Query Interval: La ce interval de timp se execută interogarea WMI (Windows Management Instrumentation). Aceasta este completată automat pentru a fi executată la fiecare 60 de secunde;

Credențiale de utilizat: Se adaugă acreditările corespunzătoare dintr-o listă derulantă;

Tag: Acest câmp este completat automat, dar puteți modifica informațiile;

Administrative Notes: Se poate completa cu informații despre sursa de date adăugată;

Annonymize Fields: Puteți selecta anumite informații pentru a fi anonimizate. Puteți selecta una sau mai multe opțiuni;

Computer: Completați IP-ul acestei surse de date;

Faceți clic pe butonul "Save" pentru a salva sursa de date.

Atribuiți-i agentului CYBERQUEST

Următorul pas este atribuirea agentului CYBERQUEST la această sursă de date. Apăsați lista derulantă și alegeți agentul.

Alt text

Meniu de acțiune

Pentru a edita informațiile privind sursele de date, apăsați butonul "Edit". Acest proces este aproape identic cu cel de adăugare a surselor de date.

Bulk Clone Alt Image : Clonează setările actuale ale sursei de date pentru fiecare element al câmpului "Bulk Clone".

Clone Alt Image: Clonează sursa de date.

De asemenea, puteți șterge sursa de date apăsând butonul "Delete" (Șterge). Pentru a șterge sursa de date, trebuie să eliminați agentul din sursa de date.