Compartir a través de

Configuración del reenvío de eventos de Windows al sensor independiente de Defender for Identity

  • Artículo

En este artículo se describe un ejemplo de cómo configurar el reenvío de eventos de Windows al sensor independiente de Microsoft Defender for Identity. El reenvío de eventos es un método para mejorar las capacidades de detección con eventos adicionales de Windows que no están disponibles en la red del controlador de dominio. Para obtener más información, consulte Introducción a la recopilación de eventos de Windows.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa del entorno, se recomienda implementar el sensor de Defender for Identity.

Requisitos previos

Antes de empezar:

Paso 1: Agregar la cuenta de servicio de red al dominio

En este procedimiento se describe cómo agregar la cuenta de servicio de red al dominio del grupo de lectores del registro de eventos. En este escenario, suponga que el sensor independiente de Defender for Identity es miembro del dominio.

  1. En Usuarios y equipos de Active Directory, vaya a la carpeta Integrada y haga doble clic en Lectores de registro de eventos.

  2. Seleccione Miembros.

  3. Si el servicio de red no aparece en la lista, seleccione Agregar y, a continuación, escriba Servicio de red en el campo Escriba los nombres de objeto que desea seleccionar .

  4. Seleccione Comprobar nombres y seleccione Aceptar dos veces.

Después de agregar el servicio de red al grupo Lectores de registro de eventos, reinicie los controladores de dominio para que el cambio surta efecto.

Para obtener más información, consulte Cuentas de Active Directory.

Paso 2: Crear una directiva que establezca la configuración configurar destino

En este procedimiento se describe cómo crear una directiva en los controladores de dominio para establecer la configuración configurar el Administrador de suscripciones de destino

Sugerencia

Puede crear una directiva de grupo para esta configuración y aplicar la directiva de grupo a cada controlador de dominio supervisado por el sensor independiente de Defender for Identity. Los pasos siguientes modifican la directiva local del controlador de dominio.

  1. En cada controlador de dominio, ejecute:

    winrm quickconfig

  2. En un símbolo del sistema, escriba

    gpedit.msc

  3. Expanda Configuración del > equipo Plantillas > administrativas Reenvío de eventos de componentes > de Windows. Por ejemplo:

    Captura de pantalla del cuadro de diálogo Editor de grupos de directivas locales.

  4. Haga doble clic en Configurar el Administrador de suscripciones de destino y, a continuación, haga lo siguiente:

    1. Seleccione Habilitado.

    2. En Opciones, seleccione Mostrar.

    3. En SubscriptionManagers, escriba el siguiente valor y seleccione Aceptar:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Por ejemplo, mediante Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Captura de pantalla del cuadro de diálogo Configurar suscripción de destino.

  5. Seleccione Aceptar.

  6. En un símbolo del sistema con privilegios elevados, escriba:

    gpupdate /force

Paso 3: Creación y selección de una suscripción en el sensor

En este procedimiento se describe cómo crear una suscripción para usarla con Defender for Identity y, a continuación, seleccionarla en el sensor independiente.

  1. Abra un símbolo del sistema con privilegios elevados y escriba

    wecutil qc

  2. Abra Visor de eventos.

  3. Haga clic con el botón derecho en Suscripciones y seleccione Crear suscripción.

    1. Escriba un nombre y una descripción para la suscripción.

    2. En Registro de destino, confirme que eventos reenviados está seleccionado. Para que Defender for Identity lea los eventos, el registro de destino debe ser Eventos reenviados.

    3. Seleccione Equipo de origen iniciado>Seleccione Equipos Grupos>Agregar equipo de dominio.

      1. Escriba el nombre del controlador de dominio en el campo Escriba el nombre del objeto para seleccionar .

      2. Seleccione Comprobar nombres>Aceptar>.

      3. Seleccione Aceptar. Por ejemplo:

        Captura de pantalla del cuadro de diálogo Visor de eventos.

    4. Seleccione Seleccionar eventos>por seguridad del registro>.

    5. En el campo Includes/Excludes Event ID (Incluir o excluir identificador de evento ), escriba el número de evento y seleccione Aceptar. Por ejemplo, escriba 4776:

      Captura de pantalla del cuadro de diálogo Consulta.

    6. Vuelva a la ventana de comandos abierta en el primer paso. Ejecute los comandos siguientes y reemplace SubscriptionName por el nombre que creó para la suscripción.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Vuelva a la consola de Visor de eventos. Haga clic con el botón derecho en la suscripción creada y seleccione Estado en tiempo de ejecución para ver si hay algún problema con el estado.

    8. Después de unos minutos, compruebe que los eventos que ha establecido que se van a reenviar se muestren en los eventos reenviados en el sensor independiente de Defender for Identity.

Para obtener más información, vea: Configurar los equipos para reenviar y recopilar eventos.

Contenido relacionado

Para más información, vea: