Sdílet prostřednictvím

Konfigurace předávání událostí Windows do samostatného senzoru Defenderu for Identity

  • Článek

Tento článek popisuje příklad konfigurace předávání událostí Windows do samostatného senzoru Microsoft Defenderu for Identity. Předávání událostí je jednou z metod pro vylepšení schopností detekce s dalšími událostmi Windows, které nejsou k dispozici v síti řadiče domény. Další informace najdete v tématu Přehled shromažďování událostí systému Windows.

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.

Požadavky

Než začnete, potřebujete:

Krok 1: Přidání účtu síťové služby do domény

Tento postup popisuje, jak přidat účet síťové služby do domény skupiny Event Log Readers. V tomto scénáři předpokládejme, že samostatný senzor Defenderu pro identitu je členem domény.

  1. Ve složce Uživatelé a počítače služby Active Directory přejděte do integrované složky a poklikejte na čtečky protokolu událostí.

  2. Vyberte členy.

  3. Pokud síťová služba není uvedená, vyberte Přidat a do pole Zadejte názvy objektů, které chcete vybrat.

  4. Vyberte Zkontrolovat jména a dvakrát vyberte OK .

Po přidání síťové služby do skupiny Event Log Readers restartujte řadiče domény, aby se změna projevila.

Další informace najdete v tématu Účty služby Active Directory.

Krok 2: Vytvoření zásady, která nastaví nastavení Konfigurace cíle

Tento postup popisuje, jak vytvořit zásadu na řadičích domény pro nastavení nastavení konfigurace cílového správce předplatného.

Tip

Můžete vytvořit zásadu skupiny pro tato nastavení a použít zásady skupiny pro každý řadič domény monitorovaný samostatným senzorem Defenderu for Identity. Následující kroky upravují místní zásady řadiče domény.

  1. Na každém řadiči domény spusťte:

    winrm quickconfig

  2. Na příkazovém řádku zadejte

    gpedit.msc

  3. Rozbalte položku Předávání událostí komponent systému Windows v > šablonách > pro správu konfigurace > počítače. Příklad:

    Snímek obrazovky s dialogovým oknem Editor místní skupiny zásad

  4. Poklikejte na Konfigurovat cílového správce předplatného a potom:

    1. Vyberte Povoleno.

    2. V části Možnosti vyberte Zobrazit.

    3. V části SubscriptionManagers zadejte následující hodnotu a vyberte OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Například pomocí Serveru=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Snímek obrazovky s dialogovým oknem Konfigurovat cílové předplatné

  5. Vyberte OK.

  6. Na příkazovém řádku se zvýšenými oprávněními zadejte:

    gpupdate /force

Krok 3: Vytvoření a výběr předplatného na senzoru

Tento postup popisuje, jak vytvořit předplatné pro použití s defenderem for Identity a pak ho vybrat ze samostatného senzoru.

  1. Otevřete příkazový řádek se zvýšenými oprávněními a zadejte

    wecutil qc

  2. Otevřete Prohlížeč událostí.

  3. Klikněte pravým tlačítkem na Předplatná a vyberte Vytvořit předplatné.

    1. Zadejte název a popis předplatného.

    2. V případě cílového protokolu potvrďte, že jsou vybrané přeposílané události . Aby služba Defender for Identity přečetla události, musí být cílový protokol přeposlaný.

    3. Vyberte Zdrojový počítač iniciovaný výběrem >skupiny>počítačů Přidat počítač domény.

      1. Do pole Zadejte název objektu, který chcete vybrat, zadejte název řadiče domény.

      2. Vyberte Zkontrolovat názvy>OK.>

      3. Vyberte OK. Příklad:

        Snímek obrazovky s dialogovým oknem Prohlížeč událostí

    4. Vyberte Vybrat události>podle zabezpečení protokolu.>

    5. Do pole Zahrnout/Vyloučit ID události zadejte číslo události a vyberte OK. Zadejte například 4776:

      Snímek obrazovky s dialogovým oknem Dotaz

    6. Vraťte se do příkazového okna otevřeného v prvním kroku. Spusťte následující příkazy a nahraďte SubscriptionName názvem, který jste vytvořili pro předplatné.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Vraťte se do konzoly Prohlížeč událostí. Klikněte pravým tlačítkem na vytvořené předplatné a vyberte Stav modulu runtime, abyste zjistili, jestli nedošlo k nějakým problémům se stavem.

    8. Po několika minutách zkontrolujte, jestli se události, které jste nastavili pro přeposílání, zobrazují v samostatném senzoru Defenderu pro identitu.

Další informace najdete v tématu: Konfigurace počítačů pro předávání a shromažďování událostí.

Související obsah

Další informace naleznete v tématu: