Konfigurowanie przekazywania zdarzeń systemu Windows do autonomicznego czujnika usługi Defender for Identity

W tym artykule opisano przykład konfigurowania przekazywania zdarzeń systemu Windows do autonomicznego czujnika usługi Microsoft Defender for Identity. Przekazywanie zdarzeń to jedna z metod zwiększania możliwości wykrywania przy użyciu dodatkowych zdarzeń systemu Windows, które nie są dostępne w sieci kontrolera domeny. Aby uzyskać więcej informacji, zobacz Omówienie zbierania zdarzeń systemu Windows.

Ważne

Autonomiczne czujniki usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń systemu Windows (ETW), które zapewniają dane dla wielu wykryć. Aby uzyskać pełny zakres środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.

Wymagania wstępne

Przed rozpoczęciem:

• Upewnij się, że kontroler domeny jest prawidłowo skonfigurowany do przechwytywania wymaganych zdarzeń. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity.
• Konfigurowanie dublowania portów

Krok 1. Dodawanie konta usługi sieciowej do domeny

W tej procedurze opisano sposób dodawania konta usługi sieciowej do domeny grupy czytelników dziennika zdarzeń. W tym scenariuszu przyjęto założenie, że autonomiczny czujnik usługi Defender for Identity jest członkiem domeny.

1. W obszarze Użytkownicy i komputery usługi Active Directory przejdź do folderu Wbudowane , a następnie kliknij dwukrotnie pozycję Czytelnicy dziennika zdarzeń.

2. Wybierz pozycję Członkowie.

3. Jeśli usługa sieciowa nie znajduje się na liście, wybierz pozycję Dodaj, a następnie wprowadź wartość Usługa sieciowa w polu Wprowadź nazwy obiektów do wybrania .

4. Wybierz pozycję Sprawdź nazwy i dwukrotnie wybierz przycisk OK .

Po dodaniu usługi sieciowej do grupy Czytelnicy dziennika zdarzeń uruchom ponownie kontrolery domeny, aby zmiany zaczęły obowiązywać.

Aby uzyskać więcej informacji, zobacz Konta usługi Active Directory.

Krok 2. Tworzenie zasad, które ustawiają ustawienie Konfigurowanie obiektu docelowego

W tej procedurze opisano sposób tworzenia zasad na kontrolerach domeny w celu ustawienia Konfiguruj docelowego Menedżera subskrypcji

Napiwek

Można utworzyć zasady grupy dla tych ustawień i zastosować zasady grupy do każdego kontrolera domeny monitorowanego przez autonomiczny czujnik usługi Defender for Identity. Poniższe kroki modyfikują zasady lokalne kontrolera domeny.

1. Na każdym kontrolerze domeny uruchom polecenie:

   winrm quickconfig
   

2. W wierszu polecenia wprowadź polecenie

   gpedit.msc
   

3. Rozwiń węzeł Konfiguracja > komputera Administracja szablonów > astracyjnych Składniki > systemu Windows Przekazywanie zdarzeń. Na przykład:

   

4. Kliknij dwukrotnie pozycję Konfiguruj docelowego Menedżera subskrypcji, a następnie:

   1. Wybierz pozycję Włączone.

   2. W obszarze Opcje wybierz pozycję Pokaż.

   3. W obszarze SubscriptionManagers wprowadź następującą wartość i wybierz przycisk OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Na przykład za pomocą polecenia Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      

5. Wybierz przycisk OK.

6. W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź:

   gpupdate /force
   

Krok 3. Tworzenie i wybieranie subskrypcji na czujniku

W tej procedurze opisano sposób tworzenia subskrypcji do użycia z usługą Defender for Identity, a następnie wybierania jej z autonomicznego czujnika.

1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wprowadź

   wecutil qc
   

2. Otwórz Podgląd zdarzeń.

3. Kliknij prawym przyciskiem myszy pozycję Subskrypcje i wybierz pozycję Utwórz subskrypcję.

   1. Wprowadź nazwę i opis subskrypcji.

   2. W obszarze Dziennik docelowy upewnij się, że wybrano opcję Zdarzenia przekazane. Aby usługa Defender for Identity odczytywała zdarzenia, dziennik docelowy musi być przekazywany zdarzenia.

   3. Wybierz pozycję Komputer źródłowy zainicjowany>Wybierz grupy>komputerów Dodaj komputer domeny.

      1. Wprowadź nazwę kontrolera domeny w polu Wprowadź nazwę obiektu do wybrania .

      2. Wybierz pozycję Sprawdź nazwy>OK.>

      3. Wybierz przycisk OK. Na przykład:

         

   4. Wybierz pozycję Wybierz zdarzenia>według zabezpieczeń dziennika.>

   5. W polu Dołączanie/Wyklucza identyfikator zdarzenia wpisz numer zdarzenia i wybierz przycisk OK. Na przykład wprowadź wartość 4776:

      

   6. Wróć do okna polecenia otwartego w pierwszym kroku. Uruchom następujące polecenia, zastępując ciąg SubscriptionName nazwą utworzoną dla subskrypcji.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Wróć do konsoli Podgląd zdarzeń. Kliknij prawym przyciskiem myszy utworzoną subskrypcję i wybierz pozycję Stan środowiska uruchomieniowego, aby sprawdzić, czy występują problemy ze stanem.

   8. Po kilku minutach sprawdź, czy zdarzenia, które mają być przekazywane, są wyświetlane w zdarzeń przekazanych w autonomicznym czujniku usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz: Konfigurowanie komputerów do przekazywania i zbierania zdarzeń.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

• Konfigurowanie dublowania portów
• Nasłuchiwanie zdarzeń SIEM w autonomicznym czujniku usługi Defender for Identity