Konfigurieren der Windows-Ereignisweiterleitung an ihren eigenständigen Defender for Identity-Sensor

  • Artikel

In diesem Artikel wird ein Beispiel für die Konfiguration der Windows-Ereignisweiterleitung an ihren eigenständigen Microsoft Defender for Identity-Sensor beschrieben. Die Ereignisweiterleitung ist eine Methode zum Verbessern ihrer Erkennungsfähigkeiten mit zusätzlichen Windows-Ereignissen, die nicht über das Do Standard Controllernetzwerk verfügbar sind. Weitere Informationen finden Sie in der Übersicht über die Windows-Ereignissammlung.

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.

Voraussetzungen

Vorbereitungen:

Schritt 1: Hinzufügen des Netzwerkdienstkontos zum Ausführen Standard

In diesem Verfahren wird beschrieben, wie Sie das Netzwerkdienstkonto zur Ereignisprotokolllesergruppe hinzufügen Standard. Gehen Sie für dieses Szenario davon aus, dass der eigenständige Defender for Identity-Sensor mitglied der Do Standard ist.

  1. Wechseln Sie in den Benutzern und Computern von Active Directory zum integrierten Ordner, und doppelklicken Sie auf "Ereignisprotokollleser".

  2. Wählen Sie Mitglieder aus.

  3. Wenn der Netzwerkdienst nicht aufgeführt ist, wählen Sie "Hinzufügen" aus, und geben Sie dann "Netzwerkdienst " in die Objektnamen ein, um das Feld auszuwählen .

  4. Wählen Sie Namen überprüfen und klicken Sie auf OK.

Nachdem Sie den Netzwerkdienst zur Gruppe "Ereignisprotokollleser" hinzugefügt haben, starten Sie die Do Standard-Controller neu, damit die Änderung wirksam wird.

Weitere Informationen finden Sie unter Konfigurieren von Konten in Active Directory.

Schritt 2: Erstellen einer Richtlinie, die die Einstellung "Ziel konfigurieren" festlegt

In diesem Verfahren wird beschrieben, wie Sie eine Richtlinie für die Aufgaben erstellen Standard Controller, um die Einstellung "Abonnement-Manager konfigurieren" festzulegen.

Tipp

Sie können eine Gruppenrichtlinie für diese Einstellungen erstellen und die Gruppenrichtlinie auf die einzelnen Aktionen anwenden Standard Controller, der vom eigenständigen Defender for Identity-Sensor überwacht wird. Die folgenden Schritte ändern die lokale Richtlinie des Do Standard Controllers.

  1. Führen Sie auf jedem do Standard-Controller Folgendes aus:

    winrm quickconfig

  2. Geben Sie an einer Eingabeaufforderung Folgendes ein

    gpedit.msc

  3. Erweitern Sie Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Ereignisweiterleitung Beispiel:

    Screenshot of the Local policy group editor dialog.

  4. Doppelklicken Sie auf "Zielabonnement-Manager konfigurieren", und führen Sie dann folgende Aktionen aus:

    1. Wählen Sie Aktiviert.

    2. Wählen Sie unter "Optionen" die Option "Anzeigen" aus.

    3. Geben Sie unter "SubscriptionManagers" den folgenden Wert ein, und wählen Sie "OK" aus:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Beispiel: Verwenden von Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Screenshot of the Configure target subscription dialog.

  5. Klickan Sie auf OK.

  6. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes aus:

    gpupdate /force

Schritt 3: Erstellen und Auswählen eines Abonnements auf Ihrem Sensor

In diesem Verfahren wird beschrieben, wie Sie ein Abonnement für die Verwendung mit Defender for Identity erstellen und dann aus Ihrem eigenständigen Sensor auswählen.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und öffnen Sie .

    wecutil qc

  2. Öffnen Sie die Ereignisanzeige.

  3. Klicken Sie mit der rechten Maustaste auf "Abonnements", und wählen Sie "Abonnement erstellen" aus.

    1. Geben Sie einen aussagekräftigen Namen für das Abonnement ein.

    2. Vergewissern Sie sich für das Zielprotokoll, dass weitergeleitete Ereignisse ausgewählt sind. Damit Defender for Identity die Ereignisse lesen kann, muss das Zielprotokoll weitergeleitete Ereignisse sein.

    3. Wählen Sie den Quellcomputer aus, der initiiert wurde>: "Computergruppen>hinzufügen Standard Computer hinzufügen".

      1. Geben Sie den Namen des Do Standard Controllers in das Feld ein, um den Objektnamen einzugeben.

      2. Wählen Sie Namen überprüfen>OK>OK aus.

      3. Klickan Sie auf OK. Beispiel:

        Screenshot of the Event Viewer dialog.

    4. Wählen Sie "Ereignisse>nach Protokollsicherheit> auswählen" aus.

    5. Geben Sie im Feld "Includes/Excludes Event ID" die Ereignisnummer ein, und wählen Sie "OK" aus. Geben Sie zum Beispiel 4776 ein.

      Screenshot of the Query dialog.

    6. Kehren Sie zum Befehlsfenster zurück, das im ersten Schritt geöffnet wurde. Führen Sie die folgenden Befehle aus, und ersetzen Sie "SubscriptionName " durch den Namen, den Sie für das Abonnement erstellt haben.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Kehren Sie zur Ereignisanzeige Konsole zurück. Klicken Sie mit der rechten Maustaste auf das erstellte Abonnement, und wählen Sie den Laufzeitstatus aus, um festzustellen, ob Probleme mit dem Status auftreten.

    8. Überprüfen Sie nach ein paar Minuten, ob die Ereignisse, die Sie weiterleiten möchten, im eigenständigen Defender for Identity-Sensor in den weitergeleiteten Ereignissen angezeigt werden.

Weitere Informationen finden Sie unter Einrichten von Computern zum Weiterleiten und Sammeln von Ereignissen.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter: