設定 Windows 事件轉送至適用於身分識別的 Defender 獨立感測器
本文說明如何設定 Windows 事件轉送至 適用於身分識別的 Microsoft Defender 獨立感測器的範例。 事件轉送是一種方法,可透過無法從域控制器網路取得的額外 Windows 事件來增強偵測能力。 如需詳細資訊,請參閱 Windows 事件集合概觀。
重要
適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,這些記錄專案會提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。
必要條件
在開始之前:
- 請確定域控制器已正確設定為擷取必要的事件。 如需詳細資訊,請參閱事件集合與 適用於身分識別的 Microsoft Defender。
- 設定埠鏡像
步驟 1:將網路服務帳戶新增至網域
此程式描述如何將網路服務帳戶新增至 事件記錄讀取器群組 網域。 在此案例中,假設適用於身分識別的Defender獨立感測器是網域的成員。
在 Active Directory 的 [使用者和計算機] 中,移至 [內 建] 資料夾,然後 按兩下 [事件記錄檔讀取器]。
選取 [成員]。
如果未列出網路服務,請選取 [新增],然後在 [輸入要選取的物件名稱] 欄位中輸入網路服務。
選取 [ 檢查名稱 ],然後選取 [確定 ] 兩次。
將 網路服務 新增至 事件記錄讀取器 群組之後,請重新啟動域控制器,讓變更生效。
如需詳細資訊,請參閱 Active Directory 帳戶。
步驟 2:建立設定目標設定的原則
此程式描述如何在域控制器上建立原則,以設定 目標 訂用帳戶管理員設定
提示
您可以建立這些設定的組策略,並將組策略套用至適用於身分識別的 Defender 獨立感測器所監視的每個域控制器。 下列步驟會修改域控制器的本機原則。
在每個域控制器上,執行:
winrm quickconfig從命令提示字元輸入
gpedit.msc展開 [計算機設定>] 管理員 [>Windows 元件>] 事件轉送。 例如:
按兩下 [ 設定目標訂用帳戶管理員 ],然後:
選取 [啟用] 。
在 [選項] 底下,選取 [顯示]。
在 [SubscriptionManagers] 下,輸入下列值,然後選取 [確定]:
Server=http://
<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10例如,使用 Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:
選取 [確定]。
從提升權限的命令提示字元中,輸入:
gpupdate /force
步驟 3:在您的感測器上建立並選取訂用帳戶
此程序說明如何建立訂用帳戶以搭配適用於身分識別的Defender使用,然後從獨立感測器中選取它。
開啟提升許可權的命令提示字元並輸入
wecutil qc開啟 [事件檢視器]。
以滑鼠右鍵按兩下 [ 訂用帳戶 ],然後選取 [ 建立訂用帳戶]。
輸入訂用帳戶的名稱和描述。
針對 [ 目的地記錄檔],確認已 選取 [轉送的事件 ]。 若要讓適用於身分識別的 Defender 讀取事件,目的地記錄必須是 轉送事件。
選取 [起始的來源計算機]>[選取計算機群組>][新增網域計算機]。
在 [輸入要選取的物件名稱] 字段中,輸入域控制器的名稱。
選取 [檢查名稱>確定] 。>
選取 [確定]。 例如:
選取 [依記錄>安全性選取事件]。>
在 [ 包含/排除事件標識符 ] 字段中輸入事件號碼,然後選取 [ 確定]。 例如,輸入 4776:
返回在第一個步驟中開啟的命令視窗。 執行下列命令,將 SubscriptionName 取代為您為訂用帳戶建立的名稱。
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000返回 事件檢視器 主控台。 以滑鼠右鍵按兩下已建立的訂用帳戶,然後選取[ 運行時間狀態 ],以查看狀態是否有任何問題。
幾分鐘后,請檢查您設定為轉寄的事件是否顯示在適用於身分識別的 Defender 獨立感測器上的轉送事件中。
如需詳細資訊,請參閱: 將計算機設定為轉送和收集事件。
相關內容
如需詳細資訊,請參閱