Skip to content

Documentație

Cum se colectează date din jurnalul Windows Security

Această pagină descrie modul de colectare a evenimentelor din sursa de date Windows Security.

Această pagină descrie modul de colectare a evenimentelor din sursa de date Windows Security.

Autentificați-vă în interfața web CYBERQUEST cu un cont care are drepturi administrative.

Navigați la “Settings > Management > Data Source Manager”.

Această pagină conține toate sursele de date adăugate în aplicația CYBERQUEST.

Lista surselor de date

Completarea formularului

Apăsați butonul “ADD DATA-SOURCE” și completați următorul formular:

Formular de adăugare a sursei de date

  • DataSource Type: Selectați tipul de sursă de date “WindowsOS/ Security Log (LogName: Security)”;

  • DataSource Information: Acest câmp este completat automat cu informațiile despre sursa de date;

  • Query Interval: Cât de des rulează interogarea WMI (Windows Management Instrumentation). În mod implicit, la fiecare 60 de secunde;

  • Credentials to use: Selectați un cont de domeniu sau local cu permisiuni de citire a jurnalului Windows Security și WMI (Vezi configurarea credențialelor: Cum se gestionează credențialele);

  • Tag: Un identificator unic atribuit automat sursei de date;

  • Administrative Notes: Note opționale pentru administratori;

  • Anonymize Fields: Selectați câmpurile care vor fi anonimizate. Pot fi selectate una sau mai multe opțiuni;

  • Computer: Introduceți numele de host (FQDN) sau adresa IP a hostului Windows;

Faceți clic pe butonul “Save” pentru a salva sursa de date.

Atribuirea agentului CYBERQUEST

Pasul următor este atribuirea agentului CYBERQUEST acestei surse de date. Apăsați lista derulantă și alegeți agentul (adesea agentul CQ Server).

Listă derulantă de atribuire a agentului

  • Edit: Faceți clic pe butonul Buton Edit pentru a actualiza informațiile sursei de date. Pașii sunt similari cu cei de adăugare a unei noi surse de date.

  • Clone: Faceți clic pePictogramă Clone pentru a crea un duplicat al sursei de date.

  • Bulk Clone: Faceți clic pe Pictogramă Bulk Clone pentru a replica setările curente ale sursei de date pentru fiecare intrare listată în câmpul “Bulk Clone”.

  • Delete: Pentru a elimina o sursă de date, dezasignați mai întâi agentul, apoi faceți clic pe “Delete”.