Määritä Windows-tapahtumien edelleenlähetys Defender for Identityn erilliseen tunnistimeen

Tässä artikkelissa kuvataan esimerkki windows-tapahtumien välittämisen määrittämisestä erilliseen Microsoft Defender for Identity tunnistimeen. Tapahtumien edelleenlähetys on yksi tapa parantaa tunnistuskykyäsi ylimääräisillä Windows-tapahtumilla, jotka eivät ole käytettävissä toimialueen ohjauskoneverkossa. Lisätietoja on ohjeaiheessa Windowsin tapahtumakokoelman yleiskatsaus.

Tärkeää

Defender for Identityn erilliset tunnistimet eivät tue Windowsin tapahtumien seurannan (ETW) lokimerkintöjen keräämistä, jotka antavat tiedot useita tunnistuksia varten. Suosittelemme, että otat Defender for Identity -tunnistimen käyttöön, jotta saat täyden kattavuuden ympäristöstäsi.

Ennakkovaatimukset

Ennen kuin aloitat:

• Varmista, että toimialueen ohjauskone on määritetty oikein tarvittavien tapahtumien sieppaamiseksi. Lisätietoja on kohdassa Tapahtumakokoelma, jossa on Microsoft Defender for Identity.
• Porttien peilauksen määrittäminen

Vaihe 1: Verkkopalvelutilin lisääminen toimialueeseen

Tässä ohjeessa kuvataan, miten voit lisätä verkkopalvelutilin tapahtumalokin lukijoiden ryhmän toimialueeseen. Tässä skenaariossa oletetaan, että defender for Identityn erillinen tunnistin on toimialueen jäsen.

1. Siirry Active Directoryn Käyttäjät ja tietokoneet -kohdassa Sisäiset-kansioon ja kaksoisnapsauta tapahtumalokin lukijat -kohtaa.

2. Valitse Jäsenet.

3. Jos verkkopalvelu ei ole luettelossa, valitse Lisää ja kirjoita sitten VerkkopalveluAnna objektien nimet - kenttään.

4. Valitse Tarkista nimet ja valitse OK kahdesti.

Kun olet lisännyt verkkopalvelunTapahtumalokin lukijat - ryhmään, käynnistä toimialueen ohjauskoneet uudelleen, jotta muutos tulee voimaan.

Lisätietoja on kohdassa Active Directory -tilit.

Vaihe 2: Luo käytäntö, joka määrittää Määritä kohde -asetuksen

Tässä ohjeessa kuvataan, miten voit luoda käytännön toimialueen ohjauskoneisiin määrittämään Tilauksenhallinnan kohdeasetukset -asetuksen

Vihje

Voit luoda ryhmäkäytännön näille asetuksille ja ottaa ryhmäkäytännön käyttöön jokaisessa toimialueen ohjauskoneessa, jota defender for Identityn erillinen tunnistin valvoo. Seuraavissa vaiheissa muokataan toimialueen ohjauskoneen paikallista käytäntöä.

1. Suorita jokaisessa toimialueen ohjauskoneessa:

   winrm quickconfig
   

2. Kirjoita komentokehotteesta

   gpedit.msc
   

3. Laajenna Tietokoneasetukset > Hallintamallit Windowsin > osat > Tapahtumien edelleenlähetys. Esimerkki:

   

4. Kaksoisnapsauta Määritä kohdetilausten hallinta ja sitten:

   1. Valitse Käytössä.

   2. Valitse Asetukset-kohdastaNäytä.

   3. Anna SubscriptionManagers-kohtaan seuraava arvo ja valitse OK:

      Palvelin=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Esimerkiksi käyttämällä palvelin=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Päivitä=10:

      

5. Valitse OK.

6. Kirjoita järjestelmänvalvojan oikeutetusta komentokehotteesta:

   gpupdate /force
   

Vaihe 3: Luo ja valitse anturitilaus

Tässä ohjeessa kuvataan, miten luodaan tilaus käytettäväksi Defender for Identityn kanssa ja valitaan se sitten erillisestä tunnistimesta.

1. Avaa järjestelmänvalvojan oikeesti korostettu komentokehote ja kirjoita

   wecutil qc
   

2. Avaa Tapahtumienvalvonta.

3. Napsauta Tilaukset hiiren kakkospainikkeella ja valitse Luo tilaus.

   1. Kirjoita tilauksen nimi ja kuvaus.

   2. Varmista kohdelokia varten, että edelleenlähätetyt tapahtumat on valittuna. Jotta Defender for Identity voi lukea tapahtumat, kohdelokin on oltava Välitetyt tapahtumat.

   3. Valitse Lähdetietokone käynnisti>Select Computers Ryhmät>Lisää toimialue tietokone.

      1. Kirjoita toimialueen ohjauskoneen nimi Anna objektin nimi valitaksesi -kenttään.

      2. Valitse Tarkista nimet>OK>OK.

      3. Valitse OK. Esimerkki:

         

   4. Valitse Valitse tapahtumat>lokin suojauksen> mukaan.

   5. Kirjoita Sisällytykset/pois jäljet -tapahtumatunnus -kenttään tapahtuman numero ja valitse OK. Kirjoita esimerkiksi 4776:

      

   6. Palaa komentoikkunaan, joka avattiin ensimmäisessä vaiheessa. Suorita seuraavat komennot ja korvaa SubscriptionName tilaukselle luodulla nimellä.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Palaa Tapahtumienvalvonta konsoliin. Napsauta hiiren kakkospainikkeella luotua tilausta ja valitse Suorituksenaikainen tila , niin näet, liittyykö tilaan ongelmia.

   8. Tarkista muutaman minuutin kuluttua, että tapahtumat, jotka määrität välitettäväksi, näkyvät edelleenläkitetyt tapahtumat Defender for Identityn erillisessä tunnistimella.

Lisätietoja on ohjeaiheessa : Tietokoneiden määrittäminen tapahtumien edelleenlähetystä ja keräämistä varten.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

• Porttien peilauksen määrittäminen
• Kuuntele SIEM-tapahtumia defender for Identityn erillisessä tunnistimella