Del via

Konfigurer videresendelse af Windows-hændelse til din separate Sensor for Defender for Identity

  • Artikel

I denne artikel beskrives et eksempel på, hvordan du konfigurerer videresendelse af Windows-hændelse til din Microsoft Defender for Identity enkeltstående sensor. Videresendelse af hændelser er én metode til at forbedre dine registreringsevner med ekstra Windows-hændelser, der ikke er tilgængelige fra domænecontrollernetværket. Du kan få flere oplysninger under Oversigt over Windows-hændelsessamling.

Vigtigt!

Separate Defender for Identity-sensorer understøtter ikke indsamling af logposter for Hændelsessporing til Windows (ETW), der leverer dataene til flere registreringer. Hvis du vil have fuld dækning af dit miljø, anbefaler vi, at du installerer Defender for Identity-sensoren.

Forudsætninger

Før du starter:

Trin 1: Føj netværkstjenestekontoen til domænet

I denne procedure beskrives det, hvordan du føjer netværkstjenestekontoen til domænet for gruppen Læsere af hændelseslog . I dette scenarie antages det, at den separate Defender for Identity-sensor er medlem af domænet.

  1. I Active Directorys brugere og computere skal du gå til den indbyggede mappe og dobbeltklikke på Læsere af hændelseslog.

  2. Vælg Medlemmer.

  3. Hvis Netværkstjeneste ikke er angivet, skal du vælge Tilføj og derefter angive Netværkstjeneste i feltet Angiv objektnavnene for at vælge .

  4. Vælg Kontrollér navne, og vælg OK to gange.

Når du har føjet netværkstjeneste til gruppen Læsere af hændelseslog , skal du genstarte domænecontrollerne, så ændringen kan træde i kraft.

Du kan få flere oplysninger under Active Directory-konti.

Trin 2: Opret en politik, der angiver destinationsindstillingen Konfigurer

I denne procedure beskrives det, hvordan du opretter en politik for domænecontrollerne for at angive indstillingen Konfigurer abonnementsstyring for mål

Tip

Du kan oprette en gruppepolitik for disse indstillinger og anvende gruppepolitikken på hver domænecontroller, der overvåges af den separate Defender for Identity-sensor. Følgende trin ændrer domænecontrollerens lokale politik.

  1. Kør på hver domænecontroller:

    winrm quickconfig

  2. Angiv fra en kommandoprompt

    gpedit.msc

  3. Udvid Computerkonfiguration > Administrative skabeloner > Windows-komponenter > Viderestilling af hændelse. Det kan f.eks. være:

    Skærmbillede af dialogboksen Editor til lokal politikgruppe.

  4. Dobbeltklik på Konfigurer målabonnementsstyring , og vælg derefter:

    1. Vælg Aktiveret.

    2. Under Indstillinger skal du vælge Vis.

    3. Angiv følgende værdi under SubscriptionManagers, og vælg OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Hvis du f.eks. bruger Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Opdater=10:

      Skærmbillede af dialogboksen Konfigurer målabonnement.

  5. Vælg OK.

  6. I en kommandoprompt med administratorrettigheder skal du angive:

    gpupdate /force

Trin 3: Opret og vælg et abonnement på din sensor

I denne procedure beskrives det, hvordan du opretter et abonnement til brug sammen med Defender for Identity og derefter vælger det fra din separate sensor.

  1. Åbn en kommandoprompt med administratorrettigheder, og angiv

    wecutil qc

  2. Åbn Logbog.

  3. Højreklik på Abonnementer, og vælg Opret abonnement.

    1. Angiv et navn og en beskrivelse til abonnementet.

    2. Som Destinationslog skal du bekræfte, at Videresendte hændelser er valgt. Hvis Defender for Identity skal læse hændelserne, skal destinationsloggen være Videresendte hændelser.

    3. Vælg Kildecomputer startet>Vælg computere Grupper>Tilføj domænecomputer.

      1. Angiv navnet på domænecontrolleren i feltet Angiv objektnavnet, der skal vælges .

      2. Vælg Kontrollér navne>OK>.

      3. Vælg OK. Det kan f.eks. være:

        Skærmbillede af dialogboksen Logbog.

    4. Vælg Vælg hændelser>efter logsikkerhed>.

    5. I feltet Medtag/Udelad hændelses-id skal du skrive hændelsesnummeret og vælge OK. Angiv f.eks. 4776:

      Skærmbillede af dialogboksen Forespørgsel.

    6. Gå tilbage til kommandovinduet, der blev åbnet i det første trin. Kør følgende kommandoer, hvor Abonnementsnavn erstattes med det navn, du har oprettet for abonnementet.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Vend tilbage til Logbog-konsollen. Højreklik på det oprettede abonnement, og vælg Kørselsstatus for at se, om der er problemer med status.

    8. Efter et par minutter skal du kontrollere, at de hændelser, du har angivet til at blive videresendt, vises i den videresendte hændelse på den separate sensor Defender for Identity.

Du kan finde flere oplysninger under: Konfigurer computerne til at videresende og indsamle hændelser.

Relateret indhold

Du kan finde flere oplysninger under: