Aracılığıyla paylaş

Tek başına Kimlik için Defender algılayıcınıza Windows olay iletmeyi yapılandırma

  • Makale

Bu makalede, tek başına Kimlik için Microsoft Defender algılayıcınıza Windows olay iletmeyi yapılandırma örneği açıklanmaktadır. Olay iletme, etki alanı denetleyicisi ağından sağlanmayan ek Windows olaylarıyla algılama becerilerinizi geliştirmeye yönelik yöntemlerden biridir. Daha fazla bilgi için bkz . Windows olay koleksiyonuna genel bakış.

Önemli

Tek başına Kimlik için Defender algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.

Önkoşullar

Başlamadan önce:

1. Adım: Ağ hizmeti hesabını etki alanına ekleme

Bu yordam, ağ hizmeti hesabının Olay Günlüğü Okuyucular Grubu etki alanına nasıl ekleneceğini açıklar. Bu senaryo için Tek başına Kimlik için Defender algılayıcısının etki alanının bir üyesi olduğunu varsayalım.

  1. Active Directory'nin Kullanıcıları ve Bilgisayarları'nda, Yerleşik klasöre gidin ve Olay Günlüğü Okuyucuları'na çift tıklayın.

  2. Üyeler'i seçin.

  3. Ağ Hizmeti listede yoksa Ekle'yi seçin ve seçecek nesne adlarını girin alanına Ağ Hizmeti girin.

  4. Adları Denetle'yi seçin ve iki kez Tamam'ı seçin.

Ağ Hizmeti'ni Olay Günlüğü Okuyucuları grubuna ekledikten sonra, değişikliğin etkili olması için etki alanı denetleyicilerini yeniden başlatın.

Daha fazla bilgi için bkz . Active Directory hesapları.

2. Adım: Hedef yapılandırma ayarını ayarlayan bir ilke oluşturma

Bu yordamda, Hedef Abonelik Yöneticisini Yapılandır ayarını ayarlamak için etki alanı denetleyicilerinde bir ilkenin nasıl oluşturulacağı açıklanır

İpucu

Bu ayarlar için bir grup ilkesi oluşturabilir ve grup ilkesini Tek başına Kimlik için Defender algılayıcısı tarafından izlenen her etki alanı denetleyicisine uygulayabilirsiniz. Aşağıdaki adımlar etki alanı denetleyicisinin yerel ilkesini değiştirir.

  1. Her etki alanı denetleyicisinde şunu çalıştırın:

    winrm quickconfig

  2. Bir komut isteminden şu komutu girin:

    gpedit.msc

  3. Bilgisayar Yapılandırması Yönetim Şablonları > Windows Bileşenleri > Olay İletme'yi genişletin.> Örneğin:

    Yerel ilke grubu düzenleyicisi iletişim kutusunun ekran görüntüsü.

  4. Hedef Abonelik Yöneticisini yapılandır'a çift tıklayın ve sonra:

    1. Etkin'i seçin.

    2. Seçenekler'in altında Göster'i seçin.

    3. SubscriptionManagers altında aşağıdaki değeri girin ve Tamam'ı seçin:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Örneğin, Server=,Refresh=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC10 kullanarak:

      Hedef aboneliği yapılandır iletişim kutusunun ekran görüntüsü.

  5. Tamam'ı seçin.

  6. Yükseltilmiş komut isteminden şunu girin:

    gpupdate /force

3. Adım: Algılayıcınızda abonelik oluşturma ve seçme

Bu yordamda, Kimlik için Defender ile kullanmak üzere bir abonelik oluşturma ve ardından bunu tek başına algılayıcınızdan seçme işlemi açıklanır.

  1. Yükseltilmiş bir komut istemi açın ve

    wecutil qc

  2. Olay Görüntüleyicisi'ni açın.

  3. Abonelikler'e sağ tıklayın ve Abonelik Oluştur'u seçin.

    1. Abonelik için bir ad ve açıklama girin.

    2. Hedef Günlük için İletilen Olaylar'ın seçili olduğunu onaylayın. Kimlik için Defender'ın olayları okuması için hedef günlüğün İletilen Olaylar olması gerekir.

    3. Kaynak bilgisayar tarafından>başlatılan Bilgisayar Grupları>Etki Alanı Bilgisayarı Ekle'yi seçin.

      1. Seçecek nesne adını girin alanına etki alanı denetleyicisinin adını girin.

      2. Adları>Denetle Tamam'ı> seçin.

      3. Tamam'ı seçin. Örneğin:

        Olay Görüntüleyicisi iletişim kutusunun ekran görüntüsü.

    4. Günlük>Güvenliğine Göre Olayları>Seç'i seçin.

    5. Olay Kimliğini Dahil Eder/Dışlar alanına olay numarasını yazın ve Tamam'ı seçin. Örneğin, 4776 girin:

      Sorgu iletişim kutusunun ekran görüntüsü.

    6. İlk adımda açılan komut penceresine dönün. SubscriptionName değerini abonelik için oluşturduğunuz adla değiştirerek aşağıdaki komutları çalıştırın.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Olay Görüntüleyicisi konsoluna dönün. Oluşturulan aboneliğe sağ tıklayın ve durumla ilgili herhangi bir sorun olup olmadığını görmek için Çalışma Zamanı Durumu'nu seçin.

    8. Birkaç dakika sonra, iletilecek şekilde ayarladığınız olayların Tek başına Kimlik için Defender algılayıcısında İletilen Olaylar'da görüntülenip gösterilmediğini denetleyin.

Daha fazla bilgi için bkz. Bilgisayarları olayları iletecek ve toplayacak şekilde yapılandırma.

İlgili içerik

Daha fazla bilgi için bkz.