Настройка перенаправления событий Windows на автономный датчик Defender для удостоверений

  • Статья

В этой статье описывается пример настройки перенаправления событий Windows на автономный датчик Microsoft Defender для удостоверений. Переадресация событий — это один из способов повышения возможностей обнаружения с дополнительными событиями Windows, недоступными из сети контроллера домена. Дополнительные сведения см. в обзоре сбора событий Windows.

Важно!

Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.

Необходимые компоненты

Перед началом:

Шаг 1. Добавление учетной записи сетевой службы в домен

В этой процедуре описывается, как добавить учетную запись сетевой службы в домен группы читателей журналов событий. В этом сценарии предположим, что автономный датчик Defender для удостоверений является членом домена.

  1. В разделе "Пользователи и компьютеры Active Directory" перейдите в встроенную папку и дважды щелкните читатели журналов событий.

  2. Выберите Участники.

  3. Если сетевая служба не указана, нажмите кнопку "Добавить", а затем введите сетевую службу в поле "Ввод имен объектов" для выбора поля.

  4. Нажмите кнопку " Проверить имена" и дважды нажмите кнопку "ОК ".

После добавления сетевой службы в группу читателей журналов событий перезагрузите контроллеры домена, чтобы изменения вступили в силу.

Дополнительные сведения см. в учетных записях Active Directory.

Шаг 2. Создание политики, которая задает параметр цели настройки

В этой процедуре описывается, как создать политику на контроллерах домена, чтобы задать параметр "Настройка целевого диспетчера подписок"

Совет

Вы можете создать групповую политику для этих параметров и применить групповую политику к каждому контроллеру домена, отслеживаемого автономным датчиком Defender для удостоверений. Следующие действия изменяют локальную политику контроллера домена.

  1. На каждом контроллере домена выполните следующую команду:

    winrm quickconfig

  2. Из командной строки введите

    gpedit.msc

  3. Разверните раздел "Конфигурация > компьютера" Администратор истообразующие > шаблоны > компонентов Windows, переадресация событий. Например:

    Screenshot of the Local policy group editor dialog.

  4. Дважды щелкните "Настройка целевого диспетчера подписок", а затем:

    1. Щелкните Включено.

    2. В разделе "Параметры" выберите "Показать".

    3. В разделе SubscriptionManagers введите следующее значение и нажмите кнопку ОК:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Например, с помощью Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Screenshot of the Configure target subscription dialog.

  5. Нажмите ОК.

  6. В командной строке с повышенными привилегиями введите:

    gpupdate /force

Шаг 3. Создание и выбор подписки на датчике

В этой процедуре описывается, как создать подписку для использования с Defender для удостоверений, а затем выбрать ее из автономного датчика.

  1. Откройте командную строку с повышенными привилегиями и введите

    wecutil qc

  2. Откройте Средство просмотра событий.

  3. Щелкните правой кнопкой мыши подписки и выберите "Создать подписку".

    1. Введите имя и описание подписки.

    2. Для журнала назначения убедитесь, что выбран параметр "Перенаправленные события ". Чтобы Защитник для удостоверений считывал события, журнал назначения должен быть переадресован.

    3. Выберите исходный компьютер, инициированный>выбором групп>компьютеров, добавьте доменный компьютер.

      1. Введите имя контроллера домена в поле "Ввод имени объекта" для выбора поля.

      2. Нажмите кнопку "Проверить имена>" ОК.>

      3. Нажмите ОК. Например:

        Screenshot of the Event Viewer dialog.

    4. Выберите "Выбрать события>по безопасности журнала".>

    5. В поле "Включаемые и исключения идентификатора события" введите номер события и нажмите кнопку "ОК". Например, введите 4776:

      Screenshot of the Query dialog.

    6. Вернитесь в командное окно, открытое на первом шаге. Выполните следующие команды, заменив SubscriptionName именем, созданным для подписки.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Вернитесь в консоль Просмотр событий. Щелкните правой кнопкой мыши созданную подписку и выберите состояние среды выполнения, чтобы узнать, возникли ли проблемы с состоянием.

    8. Через несколько минут проверка, чтобы увидеть, что события, настроенные для пересылки, отображаются на автономном датчике Defender для идентификации.

Дополнительные сведения см. в статье "Настройка компьютеров для пересылки и сбора событий".

Связанный контент

Дополнительные сведения см. в разделе: