Configuración del reenvío de eventos de Windows al sensor independiente de Defender for Identity

En este artículo se describe un ejemplo de cómo configurar el reenvío de eventos de Windows al sensor independiente de Microsoft Defender for Identity. El reenvío de eventos es un método para mejorar las capacidades de detección con eventos adicionales de Windows que no están disponibles en la red del controlador de dominio. Para obtener más información, consulte Introducción a la recopilación de eventos de Windows.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

Requisitos previos

Antes de comenzar:

• Asegúrese de que el controlador de dominio esté configurado correctamente para capturar los eventos necesarios. Para más información, consulte Recopilación de eventos de Microsoft Defender for Identity.
• Configurar la creación de reflejo del puerto

Paso 1: Agregar la cuenta de servicio de red al dominio

En este procedimiento se describe cómo agregar la cuenta de servicio de red al dominio del Grupo lectores de registro de eventos. En este escenario, supongamos que el sensor independiente de Defender for Identity es miembro del dominio.

1. En Usuarios y equipos de Active Directory, vaya a la carpeta Integrada y haga doble clic en Lectores de registro de eventos.

2. Seleccione Miembros.

3. Si el Servicio de red no aparece en la lista, seleccione Agregar y, a continuación, escriba Servicio de red en el campo Escriba los nombres de objeto que desea seleccionar.

4. Seleccione Comprobar nombres y, después, OK dos veces.

Después de agregar el Servicio de red al grupo Lectores de registro de eventos, reinicie los controladores de dominio para que el cambio surta efecto.

Para obtener más información, vea Cuentas en Active Directory.

Paso 2: Crear una directiva que establezca la configuración Configurar destino

En este procedimiento se describe cómo crear una directiva en los controladores de dominio para establecer la configuración Configuración de administrador de suscripciones de destino.

Sugerencia

Puede crear una directiva de grupo para esta configuración y aplicar la directiva de grupo a cada controlador de dominio supervisado por el sensor independiente de Defender for Identity. Los pasos siguientes modifican la directiva local del controlador de dominio.

1. En cada controlador de dominio, ejecute:

   winrm quickconfig
   

2. Desde un símbolo del sistema, escriba

   gpedit.msc
   

3. Expanda Configuración del equipo > Plantillas administrativas > Componentes de Windows > Inicio de sesión. Por ejemplo:

   

4. Haga doble clic en Configurar el Administrador de suscripciones de destino: y, a continuación:

   1. Seleccione Habilitado.

   2. En Opciones, seleccione Mostrar.

   3. En Administradores de suscripción, escriba el siguiente valor y seleccione OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Por ejemplo, con Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      

5. Seleccione Aceptar.

6. Desde un símbolo del sistema con privilegios elevados, ingrese:

   gpupdate /force
   

Paso 3: Crear y seleccionar una suscripción en el sensor

En este procedimiento se describe cómo crear una suscripción para su uso con Defender for Identity y, a continuación, seleccionarla en el sensor independiente.

1. Abra un símbolo del sistema con privilegios elevados e ingrese

   wecutil qc
   

2. Abra Visor de eventos.

3. Haga clic con el botón derecho en Suscripciones y seleccione Crear suscripción.

   1. Escriba un nombre y una descripción para la suscripción a eventos.

   2. En Registro de destino, confirme que Eventos reenviados está seleccionado. Para que Defender for Identity lea los eventos, el registro de destino debe ser Eventos reenviados.

   3. Seleccione Equipo de origen iniciado>Seleccione Grupos de equipos>Agregar equipo de dominio.

      1. Escriba el nombre del controlador de dominio en el campo Escriba el nombre del objeto que se va a seleccionar.

      2. Seleccione Comprobar Nombres >OK>OK.

      3. Seleccione Aceptar. Por ejemplo:

         

   4. Seleccione Seleccionar eventos>Por registro>Seguridad.

   5. En el campo Incluir/Excluir ID de Evento, escriba el número de evento y seleccione OK. Por ejemplo, introduzca 4776.

      

   6. Vuelva a la ventana de comandos abierta en el primer paso. Ejecute los siguientes comandos y reemplace Nombre de suscripción por el nombre que creó para la suscripción.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Vuelva a la consola de Visor de eventos. Haga clic con el botón derecho en la suscripción creada y seleccione Estado de Tiempo de ejecución para ver si hay algún problema con el estado.

   8. Después de unos minutos, compruebe que los eventos que estableció para reenviarse se muestran en el sensor independiente de Defender for Identity.

Para obtener más información, consulte Configurar equipos para reenviar y recopilar eventos.

Contenido relacionado

Para más información, vea:

• Configurar la creación de reflejo del puerto
• Escucha de eventos SIEM en el sensor independiente de Defender for Identity