Defender for Identity スタンドアロン センサーへの Windows イベント転送を構成する
この記事では、Microsoft Defender for Identity スタンドアロン センサーへの Windows イベント転送を構成する方法の例について説明します。 イベント転送は、ドメイン コントローラー ネットワークから利用できない追加の Windows イベントで検出機能を強化するための 1 つの方法です。 詳細については、「 Windows イベント コレクションの概要」を参照してください。
重要
Defender for Identity スタンドアロン センサーでは、複数の検出のデータを提供するイベント トレース for Windows (ETW) ログ エントリの収集はサポートされていません。 環境を完全にカバーするために、Defender for Identity センサーをデプロイすることをお勧めします。
前提条件
はじめに:
- 必要なイベントをキャプチャするようにドメイン コントローラーが適切に構成されていることを確認します。 詳細については、「Microsoft Defender for Identityを使用したイベント コレクション」を参照してください。
- ポート ミラーリングの構成
手順 1: ネットワーク サービス アカウントをドメインに追加する
この手順では、ネットワーク サービス アカウントを イベント ログ リーダー グループ ドメインに追加する方法について説明します。 このシナリオでは、Defender for Identity スタンドアロン センサーがドメインのメンバーであると仮定します。
Active Directory の [ユーザーとコンピューター] で、[組み込み ] フォルダーに移動し、[ イベント ログ リーダー] をダブルクリックします。
[メンバー]を選択します。
Network Service が一覧にない場合は、[追加] を選択し、[オブジェクト名を入力して選択する] フィールドに「Network Service」と入力します。
[ 名前の確認 ] を選択し、[ OK] を 2 回選択します。
ネットワーク サービスをイベント ログ リーダー グループに追加した後、変更を有効にするためにドメイン コントローラーを再起動します。
詳細については、「 Active Directory アカウント」を参照してください。
手順 2: ターゲットの構成設定を設定するポリシーを作成する
この手順では、ドメイン コントローラーにポリシーを作成して、[ターゲット サブスクリプション マネージャーの 構成] 設定を設定する方法について説明します
ヒント
これらの設定のグループ ポリシーを作成し、Defender for Identity スタンドアロン センサーによって監視される各ドメイン コントローラーにグループ ポリシーを適用できます。 次の手順では、ドメイン コントローラーのローカル ポリシーを変更します。
各ドメイン コントローラーで、次のコマンドを実行します。
winrm quickconfigコマンド プロンプトから、「」と入力します。
gpedit.msc[ コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [イベント転送] を展開します。 以下に例を示します。
![[ローカル ポリシー グループ エディター] ダイアログのスクリーンショット。](../media/wef-1-local-group-policy-editor.png)
[ ターゲット サブスクリプション マネージャーの構成 ] をダブルクリックし、次の手順を実行します。
[有効] を選択します。
[ オプション] で、[表示] を選択 します。
[ SubscriptionManagers] で、次の値を入力し、[ OK] を選択します。
Server=http://
<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10たとえば、 Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC、Refresh=10 を使用します。
![[ターゲット サブスクリプションの構成] ダイアログのスクリーンショット。](../media/wef-2-config-target-sub-manager.png)
[OK] を選択します。
管理者特権のコマンド プロンプトから、次のように入力します。
gpupdate /force
手順 3: センサーでサブスクリプションを作成して選択する
この手順では、Defender for Identity で使用するサブスクリプションを作成し、スタンドアロン センサーから選択する方法について説明します。
管理者特権のコマンド プロンプトを開き、次のように入力します。
wecutil qcイベント ビューアー を開きます。
[サブスクリプション] を右クリックし、[ サブスクリプションの 作成] を選択 します。
サブスクリプションの名前と説明を入力します。
[ 宛先ログ] で、[ 転送されたイベント ] が選択されていることを確認します。 Defender for Identity がイベントを読み取る場合、転送先ログは 転送イベントである必要があります。
[開始されたソース コンピューター] を選択>[コンピューター] グループ>[ドメイン コンピューターの追加] を選択します。
[Enter the object name to select]\( 選択するオブジェクト名を入力 する\) フィールドにドメイン コントローラーの名前を入力します。
[ 名前の確認>OK>OK] を選択します。
[OK] を選択します。 以下に例を示します。
![[イベント ビューアー] ダイアログのスクリーンショット。](../media/wef-3-event-viewer.png)
[ Select Events>By log>Security] を選択します。
[ イベント ID を含める/除外 する] フィールドにイベント番号を入力し、[ OK] を選択します。 たとえば、「 4776」と入力します。
![[クエリ] ダイアログのスクリーンショット。](../media/wef-4-query-filter.png)
最初の手順で開いたコマンド ウィンドウに戻ります。 次のコマンドを実行し、 SubscriptionName をサブスクリプション 用に作成した名前に置き換えます。
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000イベント ビューアー コンソールに戻ります。 作成したサブスクリプションを右クリックし、[ ランタイムの状態 ] を選択して、状態に問題があるかどうかを確認します。
数分後に、転送するように設定したイベントが Defender for Identity スタンドアロン センサーの転送イベントに表示されていることを確認チェック。
![[イベント ビューアー] ダイアログのスクリーンショット。](../media/wef-3-event-viewer.png#lightbox)
詳細については、「 イベントを転送および収集するようにコンピューターを構成する」を参照してください。
関連コンテンツ
詳細については、以下を参照してください: