Konfigurace předávání událostí Windows do samostatného senzoru Defenderu for Identity

Tento článek popisuje příklad konfigurace předávání událostí Windows do samostatného senzoru Microsoft Defenderu for Identity. Předávání událostí je jednou z metod pro vylepšení schopností detekce s dalšími událostmi Windows, které nejsou k dispozici v síti řadiče domény. Další informace najdete v tématu Přehled shromažďování událostí systému Windows.

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.

Požadavky

Než začnete, potřebujete:

• Ujistěte se, že je řadič domény správně nakonfigurovaný tak, aby zaznamenával požadované události. Další informace najdete v tématu Shromažďování událostí v programu Microsoft Defender for Identity.
• Konfigurace zrcadlení portů

Krok 1: Přidání účtu síťové služby do domény

Tento postup popisuje, jak přidat účet síťové služby do domény skupiny Event Log Readers. V tomto scénáři předpokládejme, že samostatný senzor Defenderu pro identitu je členem domény.

1. Ve složce Uživatelé a počítače služby Active Directory přejděte do integrované složky a poklikejte na čtečky protokolu událostí.

2. Vyberte členy.

3. Pokud síťová služba není uvedená, vyberte Přidat a do pole Zadejte názvy objektů, které chcete vybrat.

4. Vyberte Zkontrolovat jména a dvakrát vyberte OK .

Po přidání síťové služby do skupiny Event Log Readers restartujte řadiče domény, aby se změna projevila.

Další informace najdete v tématu Účty služby Active Directory.

Krok 2: Vytvoření zásady, která nastaví nastavení Konfigurace cíle

Tento postup popisuje, jak vytvořit zásadu na řadičích domény pro nastavení nastavení konfigurace cílového správce předplatného.

Tip

Můžete vytvořit zásadu skupiny pro tato nastavení a použít zásady skupiny pro každý řadič domény monitorovaný samostatným senzorem Defenderu for Identity. Následující kroky upravují místní zásady řadiče domény.

1. Na každém řadiči domény spusťte:

   winrm quickconfig
   

2. Na příkazovém řádku zadejte

   gpedit.msc
   

3. Rozbalte položku Konfigurace > počítače Správa istrativní šablony > předávání událostí součástí > systému Windows. Příklad:

   

4. Poklikejte na Konfigurovat cílového správce předplatného a potom:

   1. Vyberte Povoleno.

   2. V části Možnosti vyberte Zobrazit.

   3. V části SubscriptionManagers zadejte následující hodnotu a vyberte OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Například pomocí Serveru=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      

5. Vyberte OK.

6. Na příkazovém řádku se zvýšenými oprávněními zadejte:

   gpupdate /force
   

Krok 3: Vytvoření a výběr předplatného na senzoru

Tento postup popisuje, jak vytvořit předplatné pro použití s defenderem for Identity a pak ho vybrat ze samostatného senzoru.

1. Otevřete příkazový řádek se zvýšenými oprávněními a zadejte

   wecutil qc
   

2. Otevřete Prohlížeč událostí.

3. Klikněte pravým tlačítkem na Předplatná a vyberte Vytvořit předplatné.

   1. Zadejte název a popis předplatného.

   2. V případě cílového protokolu potvrďte, že jsou vybrané přeposílané události . Aby služba Defender for Identity přečetla události, musí být cílový protokol přeposlaný.

   3. Vyberte Zdrojový počítač iniciovaný výběrem >skupiny>počítačů Přidat počítač domény.

      1. Do pole Zadejte název objektu, který chcete vybrat, zadejte název řadiče domény.

      2. Vyberte Zkontrolovat názvy>OK.>

      3. Vyberte OK. Příklad:

         

   4. Vyberte Vybrat události>podle zabezpečení protokolu.>

   5. Do pole Zahrnout/Vyloučit ID události zadejte číslo události a vyberte OK. Zadejte například 4776:

      

   6. Vraťte se do příkazového okna otevřeného v prvním kroku. Spusťte následující příkazy a nahraďte SubscriptionName názvem, který jste vytvořili pro předplatné.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Vraťte se do konzoly Prohlížeč událostí. Klikněte pravým tlačítkem na vytvořené předplatné a vyberte Stav modulu runtime, abyste zjistili, jestli nedošlo k nějakým problémům se stavem.

   8. Po několika minutách zkontrolujte, jestli se události, které jste nastavili pro přeposílání, zobrazují v samostatném senzoru Defenderu pro identitu.

Další informace najdete v tématu: Konfigurace počítačů pro předávání a shromažďování událostí.

Související obsah

Další informace naleznete v tématu:

• Konfigurace zrcadlení portů
• Naslouchání událostem SIEM na samostatném senzoru Defenderu for Identity