Defender for Identity 독립 실행형 센서에 Windows 이벤트 전달 구성

이 문서에서는 Microsoft Defender for Identity 독립 실행형 센서에 Windows 이벤트 전달을 구성하는 방법의 예를 설명합니다. 이벤트 전달은 도메인 컨트롤러 네트워크에서 사용할 수 없는 추가 Windows 이벤트를 사용하여 검색 기능을 향상시키는 한 가지 방법입니다. 자세한 내용은 Windows 이벤트 컬렉션 개요를 참조하세요.

중요

Defender for Identity 독립 실행형 센서는 여러 검색에 대한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 컬렉션을 지원하지 않습니다. 환경을 전체적으로 검사하려면 Defender for Identity 센서를 배포하는 것이 좋습니다.

필수 구성 요소

시작하기 전에:

• 도메인 컨트롤러가 필요한 이벤트를 캡처하도록 올바르게 구성되어 있는지 확인합니다. 자세한 내용은 Microsoft Defender for Identity 있는 이벤트 컬렉션을 참조하세요.
• 포트 미러링 구성

1단계: 도메인에 네트워크 서비스 계정 추가

이 절차에서는 이벤트 로그 판독기 그룹 도메인에 네트워크 서비스 계정을 추가하는 방법을 설명합니다. 이 시나리오에서는 Defender for Identity 독립 실행형 센서가 도메인의 구성원이라고 가정합니다.

1. Active Directory의 사용자 및 컴퓨터 에서 기본 제공 폴더로 이동하고 이벤트 로그 판독기를 두 번 클릭합니다.

2. 구성원을 선택합니다.

3. 네트워크 서비스가 목록에 없으면 추가를 선택한 다음, 선택할 개체 이름 입력 필드에 네트워크 서비스를 입력합니다.

4. 이름 확인을 선택하고 확인을 두 번 선택합니다.

네트워크 서비스를이벤트 로그 판독기 그룹에 추가한 후 변경 내용이 적용되도록 도메인 컨트롤러를 다시 부팅합니다.

자세한 내용은 Active Directory 계정을 참조하세요.

2단계: 대상 구성 설정을 설정하는 정책 만들기

이 절차에서는 도메인 컨트롤러에 정책을 만들어 대상 구독 관리자 구성 설정을 지정하는 방법을 설명합니다.

팁

이러한 설정에 대한 그룹 정책을 만들고 Defender for Identity 독립 실행형 센서에서 모니터링하는 각 도메인 컨트롤러에 그룹 정책을 적용할 수 있습니다. 다음 단계에서는 도메인 컨트롤러의 로컬 정책을 수정합니다.

1. 각 도메인 컨트롤러에서 다음을 실행합니다.

   winrm quickconfig
   

2. 명령 프롬프트에서 를 입력합니다.

   gpedit.msc
   

3. 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 이벤트 전달을 확장합니다. 예시:

   

4. 대상 구독 관리자 구성을 두 번 클릭한 다음, 다음을 수행합니다.

   1. 사용하도록 설정을 선택합니다.

   2. 옵션에서 표시를 선택합니다.

   3. SubscriptionManagers에서 다음 값을 입력하고 확인을 선택합니다.

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      예를 들어 Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10을 사용합니다.

      

5. 확인을 선택합니다.

6. 관리자 권한 명령 프롬프트에서 다음을 입력합니다.

   gpupdate /force
   

3단계: 센서에서 구독 만들기 및 선택

이 절차에서는 Defender for Identity와 함께 사용할 구독을 만든 다음 독립 실행형 센서에서 선택하는 방법을 설명합니다.

1. 관리자 권한 명령 프롬프트를 열고 를 입력합니다.

   wecutil qc
   

2. 이벤트 뷰어 엽니다.

3. 구독을 마우스 오른쪽 단추 로 클릭하고 구독 만들기를 선택합니다.

   1. 구독의 이름과 설명을 입력합니다.

   2. 대상 로그의 경우 전달된 이벤트가 선택되어 있는지 확인합니다. Defender for Identity에서 이벤트를 읽으려면 대상 로그가 전달된 이벤트여야 합니다.

   3. 원본 컴퓨터 시작 컴퓨터>선택 그룹>도메인 컴퓨터 추가를 선택합니다.

      1. 선택할 개체 이름 입력 필드에 도메인 컨트롤러 의 이름을 입력 합니다.

      2. 이름> 확인확인을> 선택합니다.

      3. 확인을 선택합니다. 예시:

         

   4. 로그>보안으로 이벤트> 선택을 선택합니다.

   5. 이벤트 ID 포함/제외 필드에 이벤트 번호를 입력하고 확인을 선택합니다. 예를 들어 4776을 입력합니다.

      

   6. 첫 번째 단계에서 열린 명령 창으로 돌아갑니다. 다음 명령을 실행하여 SubscriptionName을 구독 에 대해 만든 이름으로 바꿉니다.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. 이벤트 뷰어 콘솔로 돌아갑니다. 만든 구독을 마우스 오른쪽 단추로 클릭하고 런타임 상태를 선택하여 상태 문제가 있는지 확인합니다.

   8. 몇 분 후 전달되도록 설정한 이벤트가 Defender for Identity 독립 실행형 센서의 전달된 이벤트에 표시되는지 확인하는 검사.

자세한 내용은 이벤트를 전달하고 수집하도록 컴퓨터 구성을 참조하세요.

관련 콘텐츠

자세한 내용은 다음 항목을 참조하세요.

• 포트 미러링 구성
• Defender for Identity 독립 실행형 센서에서 SIEM 이벤트 수신 대기