Condividi tramite

Configurare l'inoltro di eventi di Windows al sensore autonomo defender per identità

  • Articolo

Questo articolo descrive un esempio di come configurare l'inoltro di eventi di Windows al sensore autonomo Microsoft Defender per identità. L'inoltro degli eventi è un metodo per migliorare le funzionalità di rilevamento con eventi windows aggiuntivi non disponibili dalla rete del controller di dominio. Per altre informazioni, vedere Panoramica della raccolta di eventi di Windows.

Importante

I sensori autonomi di Defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.

Prerequisiti

Prima di iniziare:

Passaggio 1: Aggiungere l'account del servizio di rete al dominio

Questa procedura descrive come aggiungere l'account del servizio di rete al dominio del gruppo lettori del log eventi . Per questo scenario, si supponga che il sensore autonomo Defender per identità sia un membro del dominio.

  1. In Utenti e computer di Active Directory passare alla cartella predefinita e fare doppio clic su Lettori del registro eventi.

  2. Selezionare Membri.

  3. Se Servizio di rete non è elencato, selezionare Aggiungi e quindi immettere Servizio di rete nel campo Immettere i nomi degli oggetti da selezionare .

  4. Selezionare Controlla nomi e selezionare OK due volte.

Dopo aver aggiunto il servizio di rete al gruppo Lettori log eventi , riavviare i controller di dominio per rendere effettiva la modifica.

Per altre informazioni, vedere Account di Active Directory.

Passaggio 2: Creare un criterio che imposta l'impostazione Configura destinazione

Questa procedura descrive come creare un criterio nei controller di dominio per impostare l'impostazione Configura Gestione sottoscrizioni di destinazione

Consiglio

È possibile creare criteri di gruppo per queste impostazioni e applicare i criteri di gruppo a ogni controller di dominio monitorato dal sensore autonomo Defender per identità. I passaggi seguenti modificano i criteri locali del controller di dominio.

  1. In ogni controller di dominio eseguire:

    winrm quickconfig

  2. Da un prompt dei comandi immettere

    gpedit.msc

  3. Espandere Configurazione > computer Modelli > amministrativi Componenti > di Windows Inoltro eventi. Ad esempio:

    Screenshot della finestra di dialogo Editor gruppi di criteri locali.

  4. Fare doppio clic su Configura Gestione sottoscrizioni di destinazione e quindi:

    1. Selezionare Abilitato.

    2. In Opzioni selezionare Mostra.

    3. In SubscriptionManagers immettere il valore seguente e selezionare OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Ad esempio, usando Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Screenshot della finestra di dialogo Configura sottoscrizione di destinazione.

  5. Selezionare OK.

  6. Da un prompt dei comandi con privilegi elevati immettere:

    gpupdate /force

Passaggio 3: Creare e selezionare una sottoscrizione nel sensore

Questa procedura descrive come creare una sottoscrizione da usare con Defender per identità e quindi selezionarla dal sensore autonomo.

  1. Aprire un prompt dei comandi con privilegi elevati e immettere

    wecutil qc

  2. Aprire Visualizzatore eventi.

  3. Fare clic con il pulsante destro del mouse su Sottoscrizioni e scegliere Crea sottoscrizione.

    1. Immettere un nome e una descrizione per la sottoscrizione.

    2. Per Log di destinazione verificare che sia selezionata l'opzione Eventi inoltrati . Affinché Defender per identità legga gli eventi, il log di destinazione deve essere Eventi inoltrati.

    3. Selezionare Computer di origine avviato>Selezionare computer Gruppi>Aggiungi computer di dominio.

      1. Immettere il nome del controller di dominio nel campo Immettere il nome dell'oggetto da selezionare .

      2. Selezionare Controlla nomi>OK>.

      3. Selezionare OK. Ad esempio:

        Screenshot della finestra di dialogo Visualizzatore eventi.

    4. Selezionare Select Events by logSecurity (Seleziona eventi>per sicurezza dei log>).

    5. Nel campo Include/Escludi ID evento digitare il numero di evento e selezionare OK. Ad esempio, immettere 4776:

      Screenshot della finestra di dialogo Query.

    6. Tornare alla finestra di comando aperta nel primo passaggio. Eseguire i comandi seguenti, sostituendo SubscriptionName con il nome creato per la sottoscrizione.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Tornare alla console Visualizzatore eventi. Fare clic con il pulsante destro del mouse sulla sottoscrizione creata e selezionare Stato runtime per verificare se si sono verificati problemi con lo stato.

    8. Dopo alcuni minuti, verificare che gli eventi impostati per l'inoltro vengano visualizzati nel sensore autonomo Eventi inoltrati in Defender per identità.

Per altre informazioni, vedere Configurare i computer per inoltrare e raccogliere eventi.

Contenuto correlato

Per altre informazioni, vedere: