Megosztás a következőn keresztül:

Windows-eseménytovábbítás konfigurálása a Defender for Identity önálló érzékelőjéhez

  • Cikk

Ez a cikk bemutatja, hogyan konfigurálható a Windows eseménytovábbítás a Microsoft Defender for Identity önálló érzékelőjéhez. Az eseménytovábbítás az észlelési képességek növelésének egyik módszere a tartományvezérlő hálózatából nem elérhető további Windows-eseményekkel. További információkért tekintse meg a Windows eseménygyűjteményének áttekintését.

Fontos

A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észleléshez biztosítják az adatokat. A környezet teljes körű lefedése érdekében javasoljuk a Defender for Identity érzékelő üzembe helyezését.

Előfeltételek

Előkészületek:

1. lépés: A hálózati szolgáltatásfiók hozzáadása a tartományhoz

Ez az eljárás azt ismerteti, hogyan adhatja hozzá a hálózati szolgáltatásfiókot az Eseménynapló-olvasók csoport tartományához. Ebben a forgatókönyvben feltételezzük, hogy a Defender for Identity önálló érzékelője a tartomány tagja.

  1. Az Active Directory Felhasználók és számítógépek mappájában nyissa meg a beépített mappát, és kattintson duplán az Eseménynapló-olvasók elemre.

  2. Válassza a Tagok lehetőséget.

  3. Ha a Hálózati szolgáltatás nem szerepel a listában, válassza a Hozzáadás lehetőséget, majd írja be a Hálózati szolgáltatás kifejezést az Enter the object names to select field (Az objektumnevek megadása) mezőbe.

  4. Válassza a Nevek ellenőrzése lehetőséget, majd kattintson kétszer az OK gombra .

Miután hozzáadta a hálózati szolgáltatást az Eseménynapló-olvasók csoporthoz, indítsa újra a tartományvezérlőket a módosítás érvénybe lépéséhez.

További információ: Active Directory-fiókok.

2. lépés: Hozzon létre egy szabályzatot, amely beállítja a célbeállítás konfigurálását

Ez az eljárás azt ismerteti, hogyan hozhat létre szabályzatot a tartományvezérlőken a célelőfizetés-kezelő beállításának beállításához

Tipp.

Létrehozhat egy csoportházirendet ezekhez a beállításokhoz, és alkalmazhatja a csoportházirendet az önálló Defender for Identity érzékelő által figyelt tartományvezérlőkre. Az alábbi lépések a tartományvezérlő helyi házirendjének módosítását ismertetik.

  1. Minden tartományvezérlőn futtassa a következőt:

    winrm quickconfig

  2. Egy parancssorba írja be a következőt:

    gpedit.msc

  3. Bontsa ki a számítógép konfigurációjának > felügyeleti sablonjait > a Windows-összetevők > eseménytovábbításához. Példa:

    Képernyőkép a Helyi házirendcsoport-szerkesztő párbeszédpanelről.

  4. Kattintson duplán a Cél előfizetés-kezelő konfigurálása elemre, majd:

    1. Válassza az Engedélyezve lehetőséget.

    2. A Beállítások területen válassza a Megjelenítés lehetőséget.

    3. Az SubscriptionManagers területen adja meg a következő értéket, és válassza az OK gombot:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Például a Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 használatával:

      Képernyőkép a Cél-előfizetés konfigurálása párbeszédpanelről.

  5. Kattintson az OK gombra.

  6. Egy rendszergazda jogú parancssorból írja be a következőt:

    gpupdate /force

3. lépés: Előfizetés létrehozása és kiválasztása az érzékelőn

Ez az eljárás azt ismerteti, hogyan hozhat létre előfizetést a Defender for Identity szolgáltatással való használatra, majd kiválaszthatja azt az önálló érzékelőből.

  1. Nyisson meg egy rendszergazda jogú parancssort, és írja be az

    wecutil qc

  2. Nyissa meg az Eseménynaplót.

  3. Kattintson a jobb gombbal az Előfizetések elemre, és válassza az Előfizetés létrehozása lehetőséget.

    1. Adja meg az előfizetés nevét és leírását.

    2. A célnapló esetében győződjön meg arról, hogy a továbbított események ki van választva. Ahhoz, hogy a Defender for Identity beolvassa az eseményeket, a célnaplónak továbbított eseményeknek kell lennie.

    3. Válassza a Forrásszámítógép által kezdeményezett>Számítógépcsoportok>hozzáadása tartományszámítógép hozzáadása lehetőséget.

      1. Adja meg a tartományvezérlő nevét az Enter the object name to select mezőben.

      2. Válassza a Nevek>ellenőrzése OK gombot.>

      3. Kattintson az OK gombra. Példa:

        Képernyőkép a Eseménynapló párbeszédpanelről.

    4. Válassza az Események>kiválasztása naplóbiztonság> szerint lehetőséget.

    5. Az Includes/Excludes Event ID (Az eseményazonosító beleértése/kizárása) mezőbe írja be az esemény számát, és válassza az OK gombot. Írja be például a 4776-ot:

      Képernyőkép a Lekérdezés párbeszédpanelről.

    6. Térjen vissza az első lépésben megnyitott parancsablakhoz. Futtassa a következő parancsokat, és cserélje le az SubscriptionName nevet az előfizetéshez létrehozott névre.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Térjen vissza a Eseménynapló konzolra. Kattintson a jobb gombbal a létrehozott előfizetésre, és válassza a Futtatókörnyezet állapota lehetőséget, és ellenőrizze, hogy vannak-e problémák az állapottal kapcsolatban.

    8. Néhány perc elteltével ellenőrizze, hogy a továbbított események megjelennek-e a Defender for Identity önálló érzékelő továbbított eseményeiben.

További információ: A számítógépek konfigurálása események továbbítására és gyűjtésére.

Kapcsolódó tartalom

További információk: