次の方法で共有

Defender for Identity スタンドアロン センサーに Windows イベント転送を設定する

  • [アーティクル]

この記事では、Microsoft Defender for Identity スタンドアロン センサーに Windows イベント転送を設定する方法の例を説明します。 イベント転送は、ドメイン コントローラー ネットワークでは検出できない追加の Windows イベントによって、検出機能を強化する 1 つの方法です。 詳細については、「Windows イベント コレクションの概要」を参照してください。

重要

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

前提条件

開始する前に次の操作を実行してください。

手順 1: ネットワーク サービス アカウントをドメインに追加する

この手順では、ネットワーク サービス アカウントをイベント ログ リーダー グループ ドメインに追加する方法を説明します。 このシナリオでは、Defender for Identity スタンドアロン センサーがドメインのメンバーであると仮定します。

  1. Active Directory のユーザーとコンピューターを開き、Built-in フォルダーに移動し、[イベント ログ リーダー] をダブルクリックします。

  2. [メンバー] を選択します。

  3. [ネットワーク サービス] が一覧にない場合は、[追加] を選択し、[オブジェクト名を入力して選択する] フィールドに「Network Service」と入力します。

  4. [名前の確認] を選択し、[OK] を 2 回選択します。

[イベント ログ リーダー] グループに [ネットワーク サービス] を追加したら、ドメイン コントローラーをリブートして、変更を有効にします。

詳細については、「Active Directory アカウント」を参照してください。

手順 2: [Configure target] (ターゲットの構成) 設定を設定するポリシーを作成する

この手順では、ドメイン コントローラーにポリシーを作成し、[Configure target] (ターゲットの構成) サブスクリプション マネージャー設定の設定方法を説明します。

ヒント

これらの設定でグループ ポリシーを作成し、Defender for Identity スタンドアロン センサーによって監視される各ドメイン コントローラーにグループ ポリシーを適用できます。 以下の手順では、ドメイン コントローラーのローカル ポリシーを変更します。

  1. 各 ドメイン コントローラーで次のコマンドを実行します。

    winrm quickconfig

  2. コマンド プロンプトに次のように入力します。

    gpedit.msc

  3. [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [イベント転送] の順に展開します。 次に例を示します。

    ローカル ポリシー グループ エディター ダイアログのスクリーンショット。

  4. [ターゲット サブスクリプション マネージャーの構成] をダブルクリックしてから、次のように操作します。

    1. [有効] を選択します。

    2. [オプション] で、[表示] を選択します。

    3. [SubscriptionManagers] で次の値を入力したら、[OK] をクリックします。

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      たとえば次のようになります。Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      ターゲット サブスクリプションの構成ダイアログのスクリーンショット。

  5. [OK] を選択します。

  6. 管理者特権のコマンド プロンプトから、次を入力します。

    gpupdate /force

手順 3: センサーでサブスクリプションを作成して選択する

この手順では、Defender for Identity で使用するサブスクリプションを作成し、それをスタンドアロン センサーで選択する方法について説明します。

  1. 管理者特権でのコマンド プロンプトを開き、次を入力します。

    wecutil qc

  2. イベント ビューアーを開きます。

  3. [サブスクリプション] を右クリックして、[サブスクリプションを作成] を選択します。

    1. サブスクリプションの名前と説明を入力します。

    2. [宛先ログ] で、[転送済みイベント] が選択されているかを確認します。 Defender for Identity がイベントを読み取る場合は、転送先ログが転送イベントであることが必要です。

    3. [開始されたソース コンピューター] > [コンピューター グループの選択] > [ドメイン コンピューターを追加] を選択します。

      1. [オブジェクト名を入力して選択] フローにドメイン コントローラーの名前を入力します。

      2. [名前の確認] > [OK] > [OK] の順に選択します。

      3. [OK] を選択します。 次に例を示します。

        イベント ビューアー] ダイアログのスクリーンショット。

    4. [イベントを選択] > [ログ別] > [セキュリティ] の順に選択します。

    5. [イベント ID を含める/除外する] フィールドに、イベント番号を入力して、[OK] を選択します。 たとえば、「4776」と入力します。

      クエリ ダイアログのスクリーンショット。

    6. 最初の手順で開いたコマンド ウィンドウに戻ります。 SubscriptionName をサブスクリプション用に作成した名前に置き換えて、次のコマンドを実行します。

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. イベント ビューアー コンソールに戻ります。 作成したサブスクリプションを右クリックし、[ランタイムの状態] を選択して、状態に問題があるかどうかを確認します。

    8. 数分後、転送するように設定したイベントが Defender for Identity スタンドアロン センサーの転送イベントに表示されることを確認します。

詳細については、「イベントを転送および収集するようにコンピューターを構成する」を参照してください。

関連するコンテンツ

詳細については、以下を参照してください: