Defender for Identity 독립 실행형 센서에 Windows 이벤트 전달 구성

  • 아티클

이 문서에서는 Microsoft Defender for Identity 독립 실행형 센서에 Windows 이벤트 전달을 구성하는 방법의 예를 설명합니다. 이벤트 전달은 do기본 컨트롤러 네트워크에서 사용할 수 없는 추가 Windows 이벤트를 사용하여 검색 기능을 향상시키는 한 가지 방법입니다. 자세한 내용은 Windows 이벤트 컬렉션 개요를 참조하세요.

Important

Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.

필수 조건

시작하기 전에:

  • do기본 컨트롤러가 필요한 이벤트를 캡처하도록 올바르게 구성되었는지 확인합니다. 자세한 내용은 Microsoft Defender for Identity를 사용한 이벤트 컬렉션을 참조 하세요.
  • 포트 미러 구성

1단계: 할 일에서 네트워크 서비스 계정을 추가합니다기본

이 절차에서는 이벤트 로그 판독기 그룹에 네트워크 서비스 계정을 추가하는 방법을 설명합니다기본. 이 시나리오에서는 Defender for Identity 독립 실행형 센서가 do기본 멤버라고 가정합니다.

  1. Active Directory의 사용자 및 컴퓨터에서 기본 제공 폴더로 이동하고 이벤트 로그 판독기를 두 번 클릭합니다.

  2. 구성원을 선택합니다.

  3. 네트워크 서비스가 목록에 없으면 추가를 선택한 다음 개체 이름 입력에 네트워크 서비스를 입력하여 필드를 선택합니다.

  4. 이름 확인을 선택하고 확인을 두 번 선택합니다.

이벤트 로그 판독기 그룹에 네트워크 서비스를 추가한 후 변경 내용을 적용하려면 do기본 컨트롤러를 다시 부팅합니다.

자세한 내용은 Active Directory 계정을 참조 하세요.

2단계: 대상 구성 설정을 설정하는 정책 만들기

이 절차에서는 do기본 컨트롤러에서 정책을 만들어 대상 구독 관리자 구성 설정을 지정하는 방법을 설명합니다.

이러한 설정에 대한 그룹 정책을 만들고 Defender for Identity 독립 실행형 센서에서 모니터링하는 각 do기본 컨트롤러에 그룹 정책을 적용할 수 있습니다. 다음 단계에서는 do기본 컨트롤러의 로컬 정책을 수정합니다.

  1. 각 do기본 컨트롤러에서 다음을 실행합니다.

    winrm quickconfig

  2. 명령 프롬프트에서 다음을 입력합니다.

    gpedit.msc

  3. 컴퓨터 구성 > 관리이상 템플릿 > Windows 구성 요소 > 이벤트 전달을 확장합니다. 예시:

    Screenshot of the Local policy group editor dialog.

  4. 대상 구독 관리자 구성을 두 번 클릭한 다음 다음을 수행합니다.

    1. 사용을 선택합니다.

    2. 옵션에서 표시를 선택합니다.

    3. SubscriptionManagers에서 다음 값을 입력하고 확인을 선택합니다.

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      예를 들어 Server=,Refresh=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC10을 사용합니다.

      Screenshot of the Configure target subscription dialog.

  5. 확인을 선택합니다.

  6. 관리자 권한 명령 프롬프트에서 다음을 입력합니다.

    gpupdate /force

3단계: 센서에서 구독 만들기 및 선택

이 절차에서는 Defender for Identity와 함께 사용할 구독을 만든 다음 독립 실행형 센서에서 선택하는 방법을 설명합니다.

  1. 관리자 권한 명령 프롬프트를 열고

    wecutil qc

  2. 이벤트 뷰어를 엽니다.

  3. 구독을 마우스 오른쪽 단추로 클릭하고 구독 만들기를 선택합니다.

    1. 구독의 이름과 설명을 입력합니다.

    2. 대상 로그의 경우 전달된 이벤트가 선택되어 있는지 확인합니다. Defender for Identity에서 이벤트를 읽으려면 대상 로그가 전달된 이벤트여야 합니다.

    3. 원본 컴퓨터를>선택하고 컴퓨터 그룹>추가기본 컴퓨터를 선택합니다.

      1. 필드를 선택할 개체 이름 입력에 do기본 컨트롤러의 이름을 입력합니다.

      2. 이름>확인 확인을> 선택합니다.

      3. 확인을 선택합니다. 예시:

        Screenshot of the Event Viewer dialog.

    4. 로그>보안으로 이벤트>선택을 선택합니다.

    5. 포함/제외 이벤트 ID 필드에 이벤트 번호를 입력하고 확인을 선택합니다. 예를 들어 4776을 입력합니다.

      Screenshot of the Query dialog.

    6. 첫 번째 단계에서 열린 명령 창으로 돌아갑니다. 다음 명령을 실행하여 SubscriptionName을 구독에 대해 만든 이름으로 바꿉니다.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. 이벤트 뷰어 콘솔로 돌아갑니다. 만든 구독을 마우스 오른쪽 단추로 클릭하고 런타임 상태를 선택하여 상태 문제가 있는지 확인합니다.

    8. 몇 분 후 전달되도록 설정한 이벤트가 Defender for Identity 독립 실행형 센서의 전달된 이벤트에 표시되는지 확인하는 검사.

자세한 내용은 다음을 참조하세요 . 이벤트를 전달하고 수집하도록 컴퓨터를 구성합니다.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.