Konfigurieren der Windows-Ereignisweiterleitung

Hinweis

Der Microsoft Defender for Identity Sensor liest Ereignisse automatisch lokal, ohne dass die Ereignisweiterleitung konfiguriert werden muss.

Um die Erkennungsfunktionen zu verbessern, benötigt Defender for Identity die unter Konfigurieren der Ereignissammlung aufgeführten Windows-Ereignisse. Diese können entweder automatisch vom Defender for Identity-Sensor gelesen werden, oder wenn der Defender for Identity-Sensor nicht bereitgestellt wird, kann er auf eine von zwei Arten an den eigenständigen Defender for Identity-Sensor weitergeleitet werden, indem sie den eigenständigen Defender for Identity-Sensor konfigurieren, um auf SIEM-Ereignisse zu lauschen, oder durch Konfigurieren der Windows-Ereignisweiterleitung.

Hinweis

  • Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.
  • Überprüfen Sie, ob der Domänencontroller ordnungsgemäß konfiguriert wurde, um die erforderlichen Ereignisse zu erfassen.

WEF-Konfiguration für eigenständige Defender for Identity-Sensoren mit Portspiegelung

Nachdem Sie die Portspiegelung von den Domänencontrollern auf den eigenständigen Defender for Identity-Sensor konfiguriert haben, befolgen Sie die folgenden Anweisungen, um die Windows-Ereignisweiterleitung mithilfe der quellinitiierten Konfiguration zu konfigurieren. Dies ist eine Möglichkeit, die Windows-Ereignisweiterleitung zu konfigurieren.

Schritt 1: Fügen Sie das Netzwerkdienstkonto zur Domäne „Ereignisprotokolllesergruppe“ hinzu.

Gehen Sie in diesem Szenario davon aus, dass der eigenständige Defender for Identity-Sensor Mitglied der Domäne ist.

  1. Öffnen Sie „Active Directory-Benutzer und -Computer“, navigieren Sie zum Ordner BuiltIn, und doppelklicken Sie auf Ereignisprotokollleser.
  2. Wählen Sie Mitglieder aus.
  3. Wenn Netzwerkdienst nicht aufgeführt ist, wählen Sie Hinzufügen aus, und geben Sie netzwerkdienst in das Feld Geben Sie die Objektnamen ein, um auszuwählen . Wählen Sie dann Namen überprüfen aus, und wählen Sie zweimal OK aus.

Sie müssen die Domänencontroller neu starten, nachdem Sie den Netzwerkdienst der Ereignisprotokollleser-Gruppe hinzugefügt haben, damit die Änderungen in Kraft treten können.

Schritt 2: Erstellen Sie eine Richtlinie auf den Domänencontrollern, um die Einstellung „Ziel-Abonnement-Manager konfigurieren“ festzulegen.

Hinweis

Sie können eine Gruppenrichtlinie für diese Einstellungen erstellen und die Gruppenrichtlinie auf jeden Domänencontroller anwenden, der vom eigenständigen Defender for Identity-Sensor überwacht wird. Über die folgenden Schritte ändern Sie die lokale Richtlinie des Domänencontrollers.

  1. Führen Sie den folgenden Befehl auf jedem Domänencontroller aus: winrm quickconfig

  2. Geben Sie an einer Eingabeaufforderung gpedit.msc ein.

  3. Erweitern Sie Computerkonfiguration > Administrative Vorlagen > für Windows-Komponenten > -Ereignisweiterleitung

    Abbildung des Editors für lokale Richtliniengruppen.

  4. Doppelklicken Sie auf Ziel-Abonnement-Manager konfigurieren.

    1. Wählen Sie Aktiviert aus.
    2. Klicken Sie unter Optionen auf Anzeigen.
    3. Geben Sie unter SubscriptionManagers den folgenden Wert ein, und wählen Sie OK aus: Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10 (Beispiel: Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

    Abbildung zum Konfigurieren des Zielabonnements.

  5. Klicken Sie auf OK.

  6. Geben Sie von einer Eingabeaufforderung mit erhöhten Rechten aus gpupdate /force ein.

Schritt 3: Führen Sie die folgenden Schritte auf dem eigenständigen Defender for Identity-Sensor aus

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie ein wecutil qc. Lassen Sie das Befehlsfenster geöffnet.

  2. Öffnen Sie die Ereignisanzeige.

  3. Klicken Sie mit der rechten Maustaste auf Abonnements, und wählen Sie Abonnement erstellen aus.

    1. Geben Sie einen Namen und eine Beschreibung für das Abonnement ein.

    2. Bestätigen Sie für Zielprotokoll, dass Weitergeleitete Ereignisse aktiviert ist. Damit Defender for Identity die Ereignisse lesen kann, muss das Zielprotokoll Weitergeleitete Ereignisse sein.

    3. Wählen Sie Quellcomputer initiiert aus, und wählen Sie Computergruppen auswählen aus.

      1. Wählen Sie Domänencomputer hinzufügen aus.
      2. Geben Sie den Namen des Domänencontrollers in das Feld Namen des auszuwählenden Objekts eingeben ein. Klicken Sie anschließend auf Namen überprüfen, und klicken Sie auf OK.
      3. Klicken Sie auf OK. Ereignisanzeige Bild.
    4. Wählen Sie Ereignisse auswählen aus.

      1. Wählen Sie Nach Protokoll und dann Sicherheit aus.
      2. Geben Sie im Feld Includes/Excludes-Ereignis-ID die Ereignisnummer ein, und wählen Sie OK aus. Geben Sie wie im folgenden Beispiel 4776 ein:
        Abfragefilterbild.
    5. Kehren Sie zum Befehlsfenster zurück, das im ersten Schritt geöffnet wurde. Führen Sie die folgenden Befehle aus, und ersetzen Sie SubscriptionName durch den Namen, den Sie für das Abonnement erstellt haben.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      
    6. Kehren Sie zur Ereignisanzeige-Konsole zurück. Klicken Sie mit der rechten Maustaste auf das erstellte Abonnement, und wählen Sie Laufzeitstatus aus, um festzustellen, ob es Probleme mit dem Status gibt.

    7. Überprüfen Sie nach einigen Minuten, ob die Ereignisse, die Sie für die Weiterleitung festgelegt haben, in den Weitergeleiteten Ereignissen auf dem eigenständigen Defender for Identity-Sensor angezeigt werden.

Weitere Informationen finden Sie in folgenden Quellen: Einrichten von Computern zum Weiterleiten und Sammeln von Ereignissen

Weitere Informationen