Windows Event Forwarding configureren naar de zelfstandige sensor van Defender for Identity

In dit artikel wordt een voorbeeld beschreven van het configureren van Windows Event Forwarding naar uw zelfstandige sensor van Microsoft Defender for Identity. Gebeurtenis doorsturen is een methode voor het verbeteren van uw detectiemogelijkheden met extra Windows-gebeurtenissen die niet beschikbaar zijn via het domeincontrollernetwerk. Zie het overzicht van windows-gebeurtenisverzamelingen voor meer informatie.

Belangrijk

Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.

Vereisten

Voordat u begint:

• Zorg ervoor dat de domeincontroller juist is geconfigureerd om de vereiste gebeurtenissen vast te leggen. Zie Gebeurtenisverzameling met Microsoft Defender for Identity voor meer informatie.
• Poortspiegeling configureren

Stap 1: Het netwerkserviceaccount toevoegen aan het domein

In deze procedure wordt beschreven hoe u het netwerkserviceaccount toevoegt aan het domein Lezers van gebeurtenislogboeken . Voor dit scenario wordt ervan uitgegaan dat de zelfstandige sensor van Defender for Identity lid is van het domein.

1. Ga in De gebruikers- en computers van Active Directory naar de ingebouwde map en dubbelklik op Lezers van gebeurtenislogboeken.

2. Selecteer Leden.

3. Als De netwerkservice niet wordt weergegeven, selecteert u Toevoegen en voert u vervolgens Netwerkservice in in het veld De objectnamen invoeren om het veld te selecteren .

4. Selecteer Namen controleren en selecteer TWEE keer OK .

Nadat u de netwerkservice hebt toegevoegd aan de groep Lezers van gebeurtenislogboeken, start u de domeincontrollers opnieuw op om de wijziging door te voeren.

Zie Active Directory-accounts voor meer informatie.

Stap 2: Een beleid maken waarmee de doelinstelling Configureren wordt ingesteld

In deze procedure wordt beschreven hoe u een beleid maakt op de domeincontrollers om de instelling Target Subscription Manager configureren in te stellen

Tip

U kunt een groepsbeleid voor deze instellingen maken en het groepsbeleid toepassen op elke domeincontroller die wordt bewaakt door de zelfstandige sensor van Defender for Identity. Met de volgende stappen wijzigt u het lokale beleid van de domeincontroller.

1. Voer op elke domeincontroller het volgende uit:

   winrm quickconfig
   

2. Voer vanaf een opdrachtprompt het volgende in:

   gpedit.msc
   

3. Vouw Computerconfiguratie > uit Beheer istratieve sjablonen > Windows Components > Event Forwarding. Voorbeeld:

   

4. Dubbelklik op Target Subscription Manager configureren en klik vervolgens op:

   1. Selecteer Ingeschakeld.

   2. Selecteer Onder Opties de optie Weergeven.

   3. Voer onder SubscriptionManagers de volgende waarde in en selecteer OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Gebruik bijvoorbeeld Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      

5. Selecteer OK.

6. Voer vanaf een opdrachtprompt met verhoogde bevoegdheid het volgende in:

   gpupdate /force
   

Stap 3: Een abonnement op uw sensor maken en selecteren

In deze procedure wordt beschreven hoe u een abonnement maakt voor gebruik met Defender for Identity en het vervolgens selecteert in uw zelfstandige sensor.

1. Open een opdrachtprompt met verhoogde bevoegdheid en voer

   wecutil qc
   

2. Open Logboeken.

3. Klik met de rechtermuisknop op Abonnementen en selecteer Abonnement maken.

   1. Voer een naam en beschrijving in voor het abonnement.

   2. Controleer voor doellogboek of Doorgestuurde gebeurtenissen is geselecteerd. Om de gebeurtenissen te kunnen lezen, moet het doellogboek doorgestuurde gebeurtenissen zijn.

   3. Selecteer Broncomputer geïnitieerd>Select Computers Groups>Add Domain Computer.

      1. Voer de naam van de domeincontroller in het veld Voer de objectnaam in om het veld te selecteren .

      2. Selecteer Namen controleren>OK>.

      3. Selecteer OK. Voorbeeld:

         

   4. Selecteer Gebeurtenissen >selecteren op logboekbeveiliging.>

   5. Typ in het veld Gebeurtenis-id inclusief/uitsluiten het gebeurtenisnummer en selecteer OK. Voer bijvoorbeeld 4776 in:

      

   6. Ga terug naar het opdrachtvenster dat in de eerste stap is geopend. Voer de volgende opdrachten uit en vervang SubscriptionName door de naam die u voor het abonnement hebt gemaakt.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Ga terug naar de Logboeken-console. Klik met de rechtermuisknop op het gemaakte abonnement en selecteer Runtimestatus om te zien of er problemen zijn met de status.

   8. Controleer na enkele minuten of de gebeurtenissen die u hebt ingesteld om te worden doorgestuurd, worden weergegeven in de doorgestuurde gebeurtenissen op de zelfstandige sensor van Defender for Identity.

Zie voor meer informatie: De computers configureren voor het doorsturen en verzamelen van gebeurtenissen.

Gerelateerde inhoud

Zie voor meer informatie:

• Poortspiegeling configureren
• Luisteren naar SIEM-gebeurtenissen op uw zelfstandige Defender for Identity-sensor