Konfigurieren der Windows-Ereignisweiterleitung an Ihren eigenständigen Defender for Identity-Sensor

In diesem Artikel wird ein Beispiel für die Konfiguration der Windows-Ereignisweiterleitung an Ihren Microsoft Defender for Identity eigenständigen Sensor beschrieben. Die Ereignisweiterleitung ist eine Methode, um Ihre Erkennungsfunktionen mit zusätzlichen Windows-Ereignissen zu verbessern, die im Domänencontrollernetzwerk nicht verfügbar sind. Weitere Informationen finden Sie unter Übersicht über die Windows-Ereignissammlung.

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Sammlung von ETW-Protokolleinträgen (Event Tracing for Windows), die die Daten für mehrere Erkennungen bereitstellen. Für eine vollständige Abdeckung Ihrer Umgebung empfehlen wir die Bereitstellung des Defender for Identity-Sensors.

Voraussetzungen

Bevor Sie beginnen:

• Stellen Sie sicher, dass der Domänencontroller ordnungsgemäß für die Erfassung der erforderlichen Ereignisse konfiguriert ist. Weitere Informationen finden Sie unter Ereignissammlung mit Microsoft Defender for Identity.
• Konfigurieren der Portspiegelung

Schritt 1: Hinzufügen des Netzwerkdienstkontos zur Domäne

In diesem Verfahren wird beschrieben, wie Sie das Netzwerkdienstkonto der Gruppe "Ereignisprotokollleser " hinzufügen. Gehen Sie für dieses Szenario davon aus, dass der eigenständige Defender for Identity-Sensor Mitglied der Domäne ist.

1. Navigieren Sie unter Benutzer und Computer von Active Directory zum Ordner Integrierte , und doppelklicken Sie auf Ereignisprotokollleser.

2. Wählen Sie Mitgliederaus.

3. Wenn Netzwerkdienst nicht aufgeführt ist, wählen Sie Hinzufügen aus, und geben Sie dann Netzwerkdienst in das Feld Geben Sie die zu markierenden Objektnamen ein .

4. Wählen Sie Namen überprüfen und dann zweimal OK aus.

Nachdem Sie den Netzwerkdienst zur Gruppe Ereignisprotokollleser hinzugefügt haben , starten Sie die Domänencontroller neu, damit die Änderung wirksam wird.

Weitere Informationen finden Sie unter Active Directory-Konten.

Schritt 2: Erstellen einer Richtlinie, die die Einstellung Ziel konfigurieren festlegt

In diesem Verfahren wird beschrieben, wie Sie eine Richtlinie auf den Domänencontrollern erstellen, um die Einstellung Zielabonnement-Manager konfigurieren festzulegen.

Tipp

Sie können eine Gruppenrichtlinie für diese Einstellungen erstellen und die Gruppenrichtlinie auf jeden Domänencontroller anwenden, der vom eigenständigen Defender for Identity-Sensor überwacht wird. Mit den folgenden Schritten wird die lokale Richtlinie des Domänencontrollers geändert.

1. Führen Sie auf jedem Domänencontroller Folgendes aus:

   winrm quickconfig
   

2. Geben Sie an einer Eingabeaufforderung ein.

   gpedit.msc
   

3. Erweitern Sie Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Ereignisweiterleitung. Zum Beispiel:

   

4. Doppelklicken Sie auf Zielabonnement-Manager konfigurieren , und führen Sie dann Folgendes aus:

   1. Wählen Sie Aktiviert aus.

   2. Wählen Sie unter Optionen die Option Anzeigen aus.

   3. Geben Sie unter SubscriptionManagers den folgenden Wert ein, und wählen Sie OK aus:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Verwenden Sie beispielsweise Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      

5. Wählen Sie OK aus.

6. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes ein:

   gpupdate /force
   

Schritt 3: Erstellen und Auswählen eines Abonnements auf Ihrem Sensor

In diesem Verfahren wird beschrieben, wie Sie ein Abonnement für die Verwendung mit Defender for Identity erstellen und dann aus Ihrem eigenständigen Sensor auswählen.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie ein.

   wecutil qc
   

2. Öffnen Sie Ereignisanzeige.

3. Klicken Sie mit der rechten Maustaste auf Abonnements , und wählen Sie Abonnement erstellen aus.

   1. Geben Sie einen Namen und eine Beschreibung für das Abonnement ein.

   2. Vergewissern Sie sich unter Zielprotokoll, dass Weitergeleitete Ereignisse ausgewählt ist. Damit Defender for Identity die Ereignisse lesen kann, muss das Zielprotokoll Weitergeleitete Ereignisse sein.

   3. Wählen Sie Quellcomputer initiiert>Computer auswählen Gruppen>Domänencomputer hinzufügen aus.

      1. Geben Sie den Namen des Domänencontrollers in das Feld Geben Sie den auszuwählenden Objektnamen ein .

      2. Wählen Sie Namen> überprüfenOK>OK aus.

      3. Wählen Sie OK aus. Zum Beispiel:

         

   4. Wählen Sie Ereignisse>nach Protokollsicherheit> auswählen aus.

   5. Geben Sie im Feld Includes/Excludes Event ID (Ereignis-ID eingeschlossen/ausgeschlossen ) die Ereignisnummer ein, und wählen Sie OK aus. Geben Sie beispielsweise 4776 ein:

      

   6. Kehren Sie zum Befehlsfenster zurück, das im ersten Schritt geöffnet wurde. Führen Sie die folgenden Befehle aus, und ersetzen Sie SubscriptionName durch den Namen, den Sie für das Abonnement erstellt haben.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Kehren Sie zur Ereignisanzeige-Konsole zurück. Klicken Sie mit der rechten Maustaste auf das erstellte Abonnement, und wählen Sie Laufzeitstatus aus, um festzustellen, ob Probleme mit dem status.

   8. Überprüfen Sie nach einigen Minuten, ob die Ereignisse, die Sie für die Weiterleitung festlegen, in den weitergeleiteten Ereignissen auf dem eigenständigen Defender for Identity-Sensor angezeigt werden.

Weitere Informationen finden Sie unter Konfigurieren der Computer zum Weiterleiten und Sammeln von Ereignissen.

Verwandte Inhalte

Weitere Informationen finden Sie unter:

• Konfigurieren der Portspiegelung
• Lauschen auf SIEM-Ereignisse auf Ihrem eigenständigen Defender for Identity-Sensor