Configurer le transfert d’événements Windows vers votre capteur autonome Defender pour Identity

Cet article décrit un exemple de configuration du transfert d’événements Windows vers votre capteur autonome Microsoft Defender pour Identity. Le transfert d’événements est une méthode permettant d’améliorer vos capacités de détection avec des événements Windows supplémentaires qui ne sont pas disponibles à partir du réseau du contrôleur de domaine. Pour plus d’informations, consultez la vue d’ensemble de la collecte d’événements Windows.

Important

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Prérequis

Avant de commencer :

• Vérifiez que le contrôleur de domaine est correctement configuré pour capturer les événements requis. Pour plus d’informations, consultez collection d’événements avec Microsoft Defender pour Identity.
• Configurer la mise en miroir des ports

Étape 1 : Ajouter le compte de service réseau au domaine

Cette procédure explique comment ajouter le compte de service réseau au domaine du groupe Lecteurs du journal des événements. Pour ce scénario, supposons que le capteur autonome Defender pour Identity est membre du domaine.

1. Dans Utilisateurs et ordinateurs d’Active Directory, accédez au dossier intégré et double-cliquez sur Lecteurs du journal des événements.

2. Sélectionnez Membres.

3. Si le service réseau n’est pas répertorié, sélectionnez Ajouter, puis entrez le service réseau dans le champ Entrer les noms d’objets à sélectionner .

4. Sélectionnez Vérifier les noms et sélectionnez OK deux fois.

Après avoir ajouté le Service réseau au groupe Lecteurs du journal des événements, redémarrez les contrôleurs de domaine pour que la modification prenne effet.

Pour plus d’informations, consultez les comptes Active Directory.

Étape 2 : Créer une stratégie qui définit le paramètre Configurer la cible

Cette procédure explique comment créer une stratégie sur les contrôleurs de domaine pour définir le paramètre Configurer le Gestionnaire d’abonnements cible

Conseil

Vous pouvez créer une stratégie de groupe pour ces paramètres et appliquer la stratégie de groupe à chaque contrôleur de domaine surveillé par le capteur autonome Defender for Identity. Les étapes suivantes modifient la stratégie locale du contrôleur de domaine.

1. Sur chaque contrôleur de domaine, exécutez :

   winrm quickconfig
   

2. À partir d’une invite de commandes, entrez

   gpedit.msc
   

3. Développez la configuration > ordinateur Administration istrative templates > Windows Components > Event Forwarding. Par exemple :

   

4. Double-cliquez sur Configurer le Gestionnaire d’abonnements cible, puis sur :

   1. Sélectionnez Enabled.

   2. Sous Options, sélectionnez Afficher.

   3. Sous SubscriptionManagers, entrez la valeur suivante, puis sélectionnez OK :

      Server=http ://<fqdnMicrosoftDefenderForIdentitySensor> :5985/wsman/SubscriptionManager/WEC,Refresh=10

      Par exemple, à l’aide de Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 :

      

5. Cliquez sur OK.

6. À partir d’une invite de commandes avec élévation de privilèges, entrez :

   gpupdate /force
   

Étape 3 : Créer et sélectionner un abonnement sur votre capteur

Cette procédure explique comment créer un abonnement à utiliser avec Defender pour Identity, puis le sélectionner à partir de votre capteur autonome.

1. Ouvrir une invite de commandes avec élévation de privilèges et entrer

   wecutil qc
   

2. Ouvrez l’ Observateur d’événements.

3. Cliquez avec le bouton droit sur Abonnements , puis sélectionnez Créer un abonnement.

   1. Entrez un nom et une description pour l’abonnement.

   2. Pour le journal de destination, vérifiez que les événements transférés sont sélectionnés. Pour que Defender pour Identity lise les événements, le journal de destination doit être des événements transférés.

   3. Sélectionnez l’ordinateur source initié>par Sélectionner les groupes>d’ordinateurs ajouter un ordinateur de domaine.

      1. Saisir le nom du contrôleur de domaine dans le champ Saisir le nom de l’objet à sélectionner.

      2. Sélectionnez Vérifier les noms>OK.>

      3. Cliquez sur OK. Par exemple :

         

   4. Sélectionnez Sélectionner des événements>par journal>Security.

   5. Dans le champ Includes/Excludes Event ID , tapez le numéro d’événement et sélectionnez OK. Par exemple, entrez 4776 :

      

   6. Revenez à la fenêtre de commande ouverte à la première étape. Exécutez les commandes suivantes, en remplaçant SubscriptionName par le nom que vous avez créé pour l’abonnement.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Revenez à la console Observateur d’événements. Cliquer avec le bouton droit sur l’abonnement créé et sélectionner État du Runtime pour voir s’il existe des problèmes avec l’état.

   8. Après quelques minutes, case activée pour voir que les événements que vous avez configurés à transférer apparaissent dans les événements transférés sur le capteur autonome Defender for Identity.

Pour plus d’informations, consultez : Configurer les ordinateurs pour transférer et collecter des événements.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :

• Configurer la mise en miroir des ports
• Écouter les événements SIEM sur votre capteur autonome Defender pour Identity