Windows-eseménytovábbítás konfigurálása a Defender for Identity önálló érzékelőjéhez

Ez a cikk egy példát mutat be arra, hogyan konfigurálhatja a Windows eseménytovábbítását az Microsoft Defender for Identity önálló érzékelőre. Az eseménytovábbítás az egyik módszer az észlelési képességek javítására olyan további Windows-eseményekkel, amelyek nem érhetők el a tartományvezérlő hálózatáról. További információ: A Windows eseménygyűjtésének áttekintése.

Fontos

A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észlelés adatait biztosítják. A környezet teljes körű lefedése érdekében javasoljuk, hogy telepítse a Defender for Identity érzékelőt.

Előfeltételek

Mielőtt belevágna:

1. lépés: A hálózati szolgáltatásfiók hozzáadása a tartományhoz

Ez az eljárás azt ismerteti, hogyan adhatja hozzá a hálózati szolgáltatásfiókot az Eseménynapló-olvasók csoport tartományához. Ebben a forgatókönyvben feltételezzük, hogy a Defender for Identity önálló érzékelője a tartomány tagja.

  1. Az Active Directory Felhasználók és számítógépek területén lépjen a Beépített mappába , és kattintson duplán az Eseménynapló-olvasók elemre.

  2. Válassza a Tagok lehetőséget.

  3. Ha a Hálózati szolgáltatás nem szerepel a listában, válassza a Hozzáadás lehetőséget, majd írja be a Hálózati szolgáltatás kifejezést az Adja meg a kijelölendő objektumneveket mezőbe.

  4. Válassza a Nevek ellenőrzése , majd kétszer az OK gombot.

Miután hozzáadta a hálózati szolgáltatást az Eseménynapló-olvasók csoporthoz, indítsa újra a tartományvezérlőket a módosítás érvénybe léptetéséhez.

További információ: Active Directory-fiókok.

2. lépés: Hozzon létre egy szabályzatot, amely beállítja a Célbeállítás konfigurálása beállítást

Ez az eljárás azt ismerteti, hogyan hozhat létre házirendet a tartományvezérlőkön a Célelőfizetés-kezelő konfigurálása beállítás beállításához

Tipp

Létrehozhat egy csoportházirendet ezekhez a beállításokhoz, és alkalmazhatja a csoportházirendet minden olyan tartományvezérlőre, amelyet a Defender for Identity önálló érzékelője figyel. Az alábbi lépések a tartományvezérlő helyi házirendjének módosítását ismertetik.

  1. Minden tartományvezérlőn futtassa a következőt:

    winrm quickconfig

  2. Egy parancssorból írja be a következőt:

    gpedit.msc

  3. Bontsa ki a Számítógép konfigurációja > Felügyeleti sablonok > Windows-összetevők > eseménytovábbítás elemet. Például:

    Képernyőkép a Helyi házirendcsoport-szerkesztő párbeszédpanelről.

  4. Kattintson duplán a Célelőfizetés-kezelő konfigurálása elemre, majd:

    1. Válassza az Engedélyezve lehetőséget.

    2. A Beállítások területen válassza a Megjelenítés lehetőséget.

    3. A SubscriptionManagers területen adja meg a következő értéket, és válassza az OK gombot:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Például a Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 használatával:

      Képernyőkép a Cél-előfizetés konfigurálása párbeszédpanelről.

  5. Kattintson az OK gombra.

  6. Rendszergazda jogú parancssorból írja be a következőt:

    gpupdate /force

3. lépés: Előfizetés létrehozása és kiválasztása az érzékelőn

Ez az eljárás azt ismerteti, hogyan hozhat létre előfizetést a Defender for Identityhez, majd hogyan választhatja ki azt az önálló érzékelőből.

  1. Nyisson meg egy rendszergazda jogú parancssort, és írja be a következőt:

    wecutil qc

  2. Nyissa meg eseménymegtekintő.

  3. Kattintson a jobb gombbal az Előfizetések elemre, és válassza az Előfizetés létrehozása lehetőséget.

    1. Adja meg az előfizetés nevét és leírását.

    2. A Célnapló mezőben győződjön meg arról, hogy a Továbbított események lehetőség van kiválasztva. Ahhoz, hogy a Defender for Identity beolvassa az eseményeket, a célnaplónak Továbbított eseményeknek kell lennie.

    3. Válassza a Forrásszámítógép által kezdeményezett>Számítógépcsoportok>hozzáadása Tartományi számítógép hozzáadása lehetőséget.

      1. Írja be a tartományvezérlő nevét az Adja meg a kijelölendő objektum nevét mezőbe.

      2. Válassza a Nevek> ellenőrzéseOK gombot>.

      3. Kattintson az OK gombra. Például:

        Képernyőkép a eseménymegtekintő párbeszédpanelről.

    4. Válassza az Események> kiválasztásanaplóbiztonság>szerintlehetőséget.

    5. Az Eseményazonosító beleértése/kizárása mezőbe írja be az esemény számát, és válassza az OK gombot. Írja be például a 4776 értéket:

      A Lekérdezés párbeszédpanel képernyőképe.

    6. Térjen vissza az első lépésben megnyitott parancsablakhoz. Futtassa a következő parancsokat, és cserélje le a SubscriptionName elemet az előfizetéshez létrehozott névre.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Térjen vissza a eseménymegtekintő konzolra. Kattintson a jobb gombbal a létrehozott előfizetésre, és válassza a Futtatókörnyezet állapota lehetőséget, és ellenőrizze, hogy vannak-e problémák az állapottal kapcsolatban.

    8. Néhány perc elteltével ellenőrizze, hogy a továbbított események megjelennek-e a Defender for Identity önálló érzékelőjének Továbbított események elemében.

További információ: A számítógépek konfigurálása események továbbítására és gyűjtésére.

Kapcsolódó tartalom

További információ:

  • Last updated on