配置转发到 Defender for Identity 独立传感器的 Windows 事件
本文章介绍了如何配置 Windows 事件转发到你的 Microsoft Defender for Identity 独立传感器的示例。 事件转发是通过域控制器网络中不可用的额外 Windows 事件增强检测能力的一种方法。 有关详细信息,请参阅 Windows事件收集概述。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议部署 Defender for Identity 传感器。
先决条件
开始之前:
- 请确保域控制器已正确配置为捕获所要求的事件。 有关详细信息,请参阅 Microsoft Defender for Identity 的事件集合。
- 配置端口镜像
第 1 步:将网络服务帐户添加到域
此过程介绍了如何将网络服务帐户添加到事件日志读取器组域。 对于这种应用场景,假设 Defender for Identity 独立传感器是域的成员。
在 Active Directory 的“用户和计算机”中,转到内置文件夹,然后双击事件日志读取器。
选择“成员”。
如果未列出网络服务,请选择添加,在输入要选择的对象名称字段中输入网络服务。
选择检查名称,然后选择确定两次。
将“网络服务”添加到“事件日志读取器”组后,重新启动域控制器,使更改生效。
有关详细信息,请参阅 Active Directory 帐户。
第 2 步:创建一个设置“配置目标”设置的策略
此过程介绍了如何在域控制器上创建策略以设置配置目标订阅管理器设置
提示
可以为这些设置创建一个组策略,并将这个组策略应用于由 Defender for Identity 独立传感器监视的每个域控制器。 可通过以下步骤来修改域控制器的本地策略。
在每个域控制器上,运行:
winrm quickconfig从命令提示符输入
gpedit.msc展开计算机配置 > 管理模板 > Windows 组件 > 事件转发。 例如:
双击配置目标订阅管理器,然后:
选择启用。
在选项下,选择显示。
在 SubscriptionManagers 下,输入以下值,然后选择确定:
Server=http://
<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10例如,使用 Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:
选择“确定”。
从提升的命令提示符,输入:
gpupdate /force
第 3 步:在传感器上创建并选择订阅
此过程介绍了如何创建用于 Defender for Identity 的订阅,然后从独立传感器中进行选择。
打开提升的命令提示符,然后输入
wecutil qc打开“事件查看器”。
右键单击订阅,然后选择创建订阅。
输入订阅的名称和说明。
对于“目标日志”,请确认“转发事件”已被选中。 要使 Defender for Identity 读取事件,目标日志必须是转发事件。
选择启动的源计算机>选择计算机组>添加域计算机。
在“输入要选择的对象名称”字段中输入域控制器的名称。
选择检查名称>确定>确定。
选择“确定”。 例如:
选择选择事件>按日志>安全性。
在“包含/排除事件 ID”字段中,键入事件编号并选择“确定”。 例如,输入 4776:
返回到第一个步骤中打开的命令窗口。 运行以下命令,将 SubscriptionName 替换为你为订阅创建的名称。
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000返回到事件查看器主机。 右键单击已创建的订阅,然后选择“运行时状态”,查看状态是否存在任何问题。
几分钟后,检查设置为转发的事件是否显示在 Defender for Identity 独立传感器的“转发事件”中。
有关详细信息,请参阅:配置计算机以转发和收集事件。
相关内容
有关详细信息,请参阅: