Mengonfigurasi penerusan peristiwa Windows ke sensor mandiri Defender for Identity Anda

  • Artikel

Artikel ini menjelaskan contoh cara mengonfigurasi penerusan peristiwa Windows ke sensor mandiri Microsoft Defender untuk Identitas Anda. Penerusan peristiwa adalah salah satu metode untuk meningkatkan kemampuan deteksi Anda dengan peristiwa Windows tambahan yang tidak tersedia dari jaringan pengontrol domain. Untuk informasi selengkapnya, lihat Gambaran umum pengumpulan peristiwa Windows.

Penting

Sensor mandiri Defender for Identity tidak mendukung pengumpulan entri log Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan data untuk beberapa deteksi. Untuk cakupan penuh lingkungan Anda, sebaiknya sebarkan sensor Defender for Identity.

Prasyarat

Sebelum memulai:

Langkah 1: Tambahkan akun layanan jaringan ke domain

Prosedur ini menjelaskan cara menambahkan akun layanan jaringan ke domain Grup Pembaca Log Peristiwa. Untuk skenario ini, asumsikan bahwa sensor mandiri Defender for Identity adalah anggota domain.

  1. Di Pengguna dan Komputer Direktori Aktif, buka folder Bawaan dan klik dua kali Pembaca Log Peristiwa.

  2. Pilih Anggota.

  3. Jika Layanan Jaringan tidak tercantum, pilih Tambahkan, lalu masukkan Layanan Jaringan di bidang Masukkan nama objek untuk dipilih .

  4. Pilih Periksa Nama dan pilih OK dua kali.

Setelah menambahkan Layanan Jaringan ke grup Pembaca Log Peristiwa, mulai ulang pengontrol domain agar perubahan diterapkan.

Untuk informasi selengkapnya, lihat Akun Direktori Aktif.

Langkah 2: Buat kebijakan yang menetapkan pengaturan Konfigurasi target

Prosedur ini menjelaskan cara membuat kebijakan pada pengendali domain untuk mengatur pengaturan Konfigurasikan Manajer Langganan target

Tip

Anda dapat membuat kebijakan grup untuk pengaturan ini dan menerapkan kebijakan grup ke setiap pengendali domain yang dipantau oleh sensor mandiri Defender for Identity. Langkah-langkah berikut mengubah kebijakan lokal pengendali domain.

  1. Pada setiap pengendali domain, jalankan:

    winrm quickconfig

  2. Dari perintah, masukkan

    gpedit.msc

  3. Perluas Templat > Administratif Konfigurasi > Komputer Penerusan >Peristiwa Komponen Windows. Misalnya:

    Screenshot of the Local policy group editor dialog.

  4. Klik ganda Konfigurasikan Manajer Langganan target lalu:

    1. Pilih Diaktifkan.

    2. Di bawah Opsi, pilih Perlihatkan.

    3. Di bawah SubscriptionManagers, masukkan nilai berikut dan pilih OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Misalnya, menggunakan Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Screenshot of the Configure target subscription dialog.

  5. Pilih OK.

  6. Dari prompt perintah yang ditingkatkan, masukkan:

    gpupdate /force

Langkah 3: Buat dan pilih langganan di sensor Anda

Prosedur ini menjelaskan cara membuat langganan untuk digunakan dengan Defender for Identity lalu memilihnya dari sensor mandiri Anda.

  1. Buka prompt perintah yang ditingkatkan dan masukkan

    wecutil qc

  2. Buka Pemantau Peristiwa.

  3. Klik kanan Langganan dan pilih Buat Langganan.

    1. Masukkan nama dan deskripsi untuk langganan.

    2. Untuk Log Tujuan, konfirmasikan bahwa Peristiwa yang Diteruskan dipilih. Agar Defender untuk Identitas membaca peristiwa, log tujuan harus Diteruskan Peristiwa.

    3. Pilih Komputer sumber dimulai>Pilih Grup>Komputer Tambahkan Komputer Domain.

      1. Masukkan nama pengendali domain di bidang Masukkan nama objek untuk dipilih .

      2. Pilih Periksa Nama>OK.>

      3. Pilih OK. Misalnya:

        Screenshot of the Event Viewer dialog.

    4. Pilih Pilih Peristiwa>Menurut Keamanan log.>

    5. Di bidang Sertakan/Kecualikan ID Peristiwa ketik nomor peristiwa dan pilih OK. Misalnya, masukkan 4776:

      Screenshot of the Query dialog.

    6. Kembali ke jendela perintah yang dibuka di langkah pertama. Jalankan perintah berikut, ganti SubscriptionName dengan nama yang Anda buat untuk langganan.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Kembali ke konsol Pemantau Peristiwa. Klik kanan langganan yang dibuat dan pilih Status Runtime untuk melihat apakah ada masalah dengan status tersebut.

    8. Setelah beberapa menit, periksa untuk melihat bahwa peristiwa yang Anda atur untuk diteruskan muncul di Peristiwa yang Diteruskan pada sensor mandiri Defender for Identity.

Untuk informasi selengkapnya, lihat: Mengonfigurasi komputer untuk meneruskan dan mengumpulkan peristiwa.

Konten terkait

Untuk informasi selengkapnya, lihat: