本文介绍了如何配置 Windows 事件转发到Microsoft Defender for Identity独立传感器的示例。 事件转发是一种通过域控制器网络中不可用的额外 Windows 事件增强检测能力的方法。 有关详细信息,请参阅 Windows 事件集合概述。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW 事件跟踪) 日志条目,这些日志条目为多个检测提供数据。 为了全面覆盖环境,建议部署 Defender for Identity 传感器。
先决条件
开始之前:
- 请确保域控制器已正确配置为捕获所需的事件。 有关详细信息,请参阅使用 Microsoft Defender for Identity 的事件集合。
- 配置端口镜像
步骤 1:将网络服务帐户添加到域
此过程介绍如何将网络服务帐户添加到 事件日志读取器组 域。 对于此方案,假定 Defender for Identity 独立传感器是域的成员。
在 Active Directory 的“用户和计算机”中,转到 “内置 ”文件夹,然后双击“ 事件日志读取器”。
选择“成员”。
如果未列出“网络服务”,请选择“添加”,然后在“输入要选择的对象名称”字段中输入“网络服务”。
选择“ 检查名称 ”,然后选择 “确定” 两次。
将 网络服务 添加到 事件日志读取器 组后,重新启动域控制器,使更改生效。
有关详细信息,请参阅 Active Directory 帐户。
步骤 2:创建设置“配置目标”设置的策略
此过程介绍如何在域控制器上创建策略以设置 “配置目标 订阅管理器”设置
提示
可以为这些设置创建组策略,并将组策略应用于由 Defender for Identity 独立传感器监视的每个域控制器。 以下步骤修改域控制器的本地策略。
在每个域控制器上,运行:
winrm quickconfig在命令提示符下,输入
gpedit.msc展开 “计算机配置 > 管理模板 > ”“Windows 组件 > 事件转发”。 例如:
双击“ 配置目标订阅管理器 ”,然后:
选择“已启用”。
在 “选项”下,选择“ 显示”。
在 “SubscriptionManagers”下,输入以下值,然后选择“ 确定”:
Server=http://
<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10例如,使用 Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:
选择“确定”。
在提升的命令提示符下,输入:
gpupdate /force
步骤 3:在传感器上创建并选择订阅
此过程介绍如何创建用于 Defender for Identity 的订阅,然后从独立传感器中选择它。
打开提升的命令提示符并输入
wecutil qc打开事件查看器。
右键单击“ 订阅 ”,然后选择“ 创建订阅”。
输入订阅的名称和说明。
对于 “目标日志”,确认已选择“ 转发事件 ”。 要使 Defender for Identity 读取事件,目标日志必须为 “转发事件”。
选择“启动的>源计算机”选择“组>添加域计算机”。
在“ 输入要选择的对象名称 ”字段中输入域控制器的名称。
选择“ 检查名称>确定>”。确定。
选择“确定”。 例如:
选择“按日志>安全性选择事件>”。
在 “包括/排除事件 ID ”字段中,键入事件编号并选择“ 确定”。 例如,输入 4776:
返回到第一步中打开的命令窗口。 运行以下命令,将 SubscriptionName 替换为为订阅创建的名称。
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000返回到事件查看器控制台。 右键单击创建的订阅,然后选择“ 运行时状态 ”以查看状态是否存在任何问题。
几分钟后,检查查看设置为转发的事件是否显示在 Defender for Identity 独立传感器上的“转发事件”中。
有关详细信息,请参阅: 将计算机配置为转发和收集事件。
相关内容
有关更多信息,请参阅: