Configurer le transfert d’événements Windows vers votre capteur autonome Defender pour Identity
Cet article décrit un exemple de configuration du transfert d’événements Windows vers votre capteur autonome Microsoft Defender pour Identity. Le transfert d’événements est une méthode permettant d’améliorer vos capacités de détection avec des événements Windows supplémentaires qui ne sont pas disponibles à partir du réseau du contrôleur de domaine. Pour plus d’informations, consultez la vue d’ensemble de la collecte d’événements Windows.
Important
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Prérequis
Avant de commencer :
- Vérifiez que le contrôleur de domaine est correctement configuré pour capturer les événements requis. Pour plus d’informations, consultez collection d’événements avec Microsoft Defender pour Identity.
- Configurer la mise en miroir des ports
Étape 1 : Ajouter le compte de service réseau au domaine
Cette procédure explique comment ajouter le compte de service réseau au domaine du groupe Lecteurs du journal des événements. Pour ce scénario, supposons que le capteur autonome Defender pour Identity est membre du domaine.
Dans Utilisateurs et ordinateurs d’Active Directory, accédez au dossier intégré et double-cliquez sur Lecteurs du journal des événements.
Sélectionnez Membres.
Si le service réseau n’est pas répertorié, sélectionnez Ajouter, puis entrez le service réseau dans le champ Entrer les noms d’objets à sélectionner .
Sélectionnez Vérifier les noms et sélectionnez OK deux fois.
Après avoir ajouté le Service réseau au groupe Lecteurs du journal des événements, redémarrez les contrôleurs de domaine pour que la modification prenne effet.
Pour plus d’informations, consultez les comptes Active Directory.
Étape 2 : Créer une stratégie qui définit le paramètre Configurer la cible
Cette procédure explique comment créer une stratégie sur les contrôleurs de domaine pour définir le paramètre Configurer le Gestionnaire d’abonnements cible
Conseil
Vous pouvez créer une stratégie de groupe pour ces paramètres et appliquer la stratégie de groupe à chaque contrôleur de domaine surveillé par le capteur autonome Defender for Identity. Les étapes suivantes modifient la stratégie locale du contrôleur de domaine.
Sur chaque contrôleur de domaine, exécutez :
winrm quickconfig
À partir d’une invite de commandes, entrez
gpedit.msc
Développez la configuration > ordinateur Administration istrative templates > Windows Components > Event Forwarding. Par exemple :
Double-cliquez sur Configurer le Gestionnaire d’abonnements cible, puis sur :
Sélectionnez Enabled.
Sous Options, sélectionnez Afficher.
Sous SubscriptionManagers, entrez la valeur suivante, puis sélectionnez OK :
Server=http ://
<fqdnMicrosoftDefenderForIdentitySensor>
:5985/wsman/SubscriptionManager/WEC,Refresh=10Par exemple, à l’aide de Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 :
Cliquez sur OK.
À partir d’une invite de commandes avec élévation de privilèges, entrez :
gpupdate /force
Étape 3 : Créer et sélectionner un abonnement sur votre capteur
Cette procédure explique comment créer un abonnement à utiliser avec Defender pour Identity, puis le sélectionner à partir de votre capteur autonome.
Ouvrir une invite de commandes avec élévation de privilèges et entrer
wecutil qc
Ouvrez l’ Observateur d’événements.
Cliquez avec le bouton droit sur Abonnements , puis sélectionnez Créer un abonnement.
Entrez un nom et une description pour l’abonnement.
Pour le journal de destination, vérifiez que les événements transférés sont sélectionnés. Pour que Defender pour Identity lise les événements, le journal de destination doit être des événements transférés.
Sélectionnez l’ordinateur source initié>par Sélectionner les groupes>d’ordinateurs ajouter un ordinateur de domaine.
Sélectionnez Sélectionner des événements>par journal>Security.
Dans le champ Includes/Excludes Event ID , tapez le numéro d’événement et sélectionnez OK. Par exemple, entrez 4776 :
Revenez à la fenêtre de commande ouverte à la première étape. Exécutez les commandes suivantes, en remplaçant SubscriptionName par le nom que vous avez créé pour l’abonnement.
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000
Revenez à la console Observateur d’événements. Cliquer avec le bouton droit sur l’abonnement créé et sélectionner État du Runtime pour voir s’il existe des problèmes avec l’état.
Après quelques minutes, case activée pour voir que les événements que vous avez configurés à transférer apparaissent dans les événements transférés sur le capteur autonome Defender for Identity.
Pour plus d’informations, consultez : Configurer les ordinateurs pour transférer et collecter des événements.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :