Sdílet prostřednictvím

Konfigurace předávání událostí Windows do samostatného senzoru Defenderu for Identity

  • Článek

Tento článek popisuje příklad konfigurace předávání událostí Windows do Microsoft Defender for Identity samostatného senzoru. Předávání událostí je jednou z metod, jak zvýšit schopnosti detekce o další události Windows, které nejsou dostupné ze sítě řadiče domény. Další informace najdete v tématu Přehled shromažďování událostí Systému Windows.

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows, které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.

Požadavky

Než začnete:

Krok 1: Přidání účtu síťové služby do domény

Tento postup popisuje, jak přidat účet síťové služby do domény skupiny Event Log Readers . V tomto scénáři předpokládejme, že samostatný senzor Defenderu for Identity je členem domény.

  1. V části Uživatelé a počítače služby Active Directory přejděte do složky Předdefinované a poklikejte na Čtečky protokolů událostí.

  2. Vyberte Členové.

  3. Pokud síťová služba není uvedená, vyberte Přidat a pak zadejte Síťová služba do pole Zadejte názvy objektů, které chcete vybrat .

  4. Vyberte Zkontrolovat jména a dvakrát vyberte OK .

Po přidání síťové služby do skupiny Event Log Readers restartujte řadiče domény, aby se změna projevila.

Další informace najdete v tématu Účty služby Active Directory.

Krok 2: Vytvoření zásady, která nastaví nastavení Konfigurovat cíl

Tento postup popisuje, jak na řadičích domény vytvořit zásadu pro nastavení Konfigurace cílového správce předplatného.

Tip

Pro tato nastavení můžete vytvořit zásadu skupiny a použít ji na každý řadič domény monitorovaný samostatným senzorem Defenderu for Identity. Následující kroky upraví místní zásady řadiče domény.

  1. Na každém řadiči domény spusťte:

    winrm quickconfig

  2. Na příkazovém řádku zadejte

    gpedit.msc

  3. Rozbalte položku Konfigurace > počítače Šablony pro > správu Součásti systému > Windows Předávání událostí. Příklady:

    Snímek obrazovky s dialogovým oknem Editor místní skupiny zásad

  4. Poklikejte na Konfigurovat cílového správce předplatného a potom:

    1. Vyberte Povoleno.

    2. V části Možnosti vyberte Zobrazit.

    3. V části SubscriptionManagers zadejte následující hodnotu a vyberte OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Například pomocí příkazu Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Snímek obrazovky s dialogovým oknem Konfigurovat cílové předplatné

  5. Vyberte OK.

  6. Na příkazovém řádku se zvýšenými oprávněními zadejte:

    gpupdate /force

Krok 3: Vytvoření a výběr předplatného na senzoru

Tento postup popisuje, jak vytvořit předplatné pro použití s Defenderem for Identity a pak ho vybrat ze samostatného senzoru.

  1. Otevřete příkazový řádek se zvýšenými oprávněními a zadejte

    wecutil qc

  2. Otevřete Prohlížeč událostí.

  3. Klikněte pravým tlačítkem na Předplatná a vyberte Vytvořit předplatné.

    1. Zadejte název a popis předplatného.

    2. V části Cílový protokol ověřte, že je vybraná možnost Forwarded Events (Přeposílané události ). Aby služba Defender for Identity četla události, musí být cílový protokol Přeposlané události.

    3. Vyberte Zdrojový počítač iniciovaný>Vybrat počítače Skupiny>Přidat počítač domény.

      1. Do pole Zadejte název objektu k výběru zadejte název řadiče domény.

      2. Vyberte Zkontrolovat názvy>OK>OK.

      3. Vyberte OK. Příklady:

        Snímek obrazovky s dialogovým oknem Prohlížeč událostí

    4. Vyberte Vybrat události> podlezabezpečeníprotokolu>.

    5. Do pole Zahrne nebo vyloučí ID události zadejte číslo události a vyberte OK. Zadejte například 4776:

      Snímek obrazovky s dialogovým oknem Dotaz

    6. Vraťte se do příkazového okna otevřeného v prvním kroku. Spusťte následující příkazy a nahraďte SubscriptionName názvem, který jste pro předplatné vytvořili.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Vraťte se do konzoly Prohlížeč událostí. Klikněte pravým tlačítkem na vytvořené předplatné a vyberte Stav modulu runtime , abyste zjistili, jestli nedošlo k problémům se stavem.

    8. Po několika minutách zkontrolujte, jestli se události, které jste nastavili pro přeposílání, zobrazují v přeposílaných událostech na samostatném senzoru Defenderu for Identity.

Další informace najdete v tématu Konfigurace počítačů pro předávání a shromažďování událostí.

Související obsah

Další informace najdete tady: