Del via

Konfigurer Windows-hendelsessending til din frittstående Defender for Identity-sensor

  • Artikkel

Denne artikkelen beskriver et eksempel på hvordan du konfigurerer windows-hendelsessending til Microsoft Defender for identitet frittstående sensor. Videresending av hendelser er én metode for å forbedre gjenkjenningsevnen med ekstra Windows-hendelser som ikke er tilgjengelige fra domenekontrollernettverket. Hvis du vil ha mer informasjon, kan du se oversikt over Hendelsessamling i Windows.

Viktig

Defender for Identity frittstående sensorer støtter ikke innsamling av loggoppføringer for hendelsessporing for Windows (ETW) som gir dataene for flere gjenkjenninger. Hvis du vil ha full dekning av miljøet ditt, anbefaler vi at du distribuerer Defender for Identity-sensoren.

Forutsetninger

Før du begynner:

Trinn 1: Legg til nettverkstjenestekontoen i domenet

Denne fremgangsmåten beskriver hvordan du legger til nettverkstjenestekontoen i gruppedomenet For hendelseslogglesere . I dette scenarioet kan du anta at den frittstående sensoren Defender for Identity er medlem av domenet.

  1. Gå til den innebygde mappen i Active Directory-brukere og -datamaskiner, og dobbeltklikk hendelseslogglesere.

  2. Velg Medlemmer.

  3. Hvis nettverkstjenesten ikke er oppført, velger du Legg til, og deretter skriver du inn Nettverkstjeneste i feltet Skriv inn objektnavnene for å velge feltet.

  4. Velg Kontroller navn , og velg OK to ganger.

Når du har lagt til nettverkstjenesten i gruppen Lesere av hendelseslogg , starter du domenekontrollerne på nytt for at endringen skal tre i kraft.

Hvis du vil ha mer informasjon, kan du se Active Directory-kontoer.

Trinn 2: Opprett en policy som angir innstillingen Konfigurer mål

Denne fremgangsmåten beskriver hvordan du oppretter en policy på domenekontrollerne for å angi innstillingen Konfigurer målabonnementsbehandling

Tips

Du kan opprette en gruppepolicy for disse innstillingene og bruke gruppepolicyen på hver domenekontroller som overvåkes av den frittstående sensoren Defender for Identity. Følgende trinn endrer den lokale policyen for domenekontrolleren.

  1. Kjør følgende på hver domenekontroller:

    winrm quickconfig

  2. Skriv inn fra en ledetekst

    gpedit.msc

  3. Utvid Windows Components >> Event Forwarding for administrative maler for datamaskinkonfigurasjon>. Eksempel:

    Skjermbilde av dialogboksen for redigeringsprogrammet for lokal policygruppe.

  4. Dobbeltklikk Konfigurer målabonnementsbehandling , og deretter:

    1. Velg Aktivert.

    2. Velg Vis under Alternativer.

    3. Skriv inn følgende verdi under SubscriptionManagers, og velg OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Bruk for eksempel Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Oppdater=10:

      Skjermbilde av dialogboksen Konfigurer målabonnement.

  5. Velg OK.

  6. Skriv inn følgende fra en hevet ledetekst:

    gpupdate /force

Trinn 3: Opprett og velg et abonnement på sensoren

Denne fremgangsmåten beskriver hvordan du oppretter et abonnement for bruk med Defender for Identitet, og deretter velger det fra den frittstående sensoren.

  1. Åpne en hevet ledetekst, og skriv inn

    wecutil qc

  2. Åpne Hendelsesliste.

  3. Høyreklikk abonnementer , og velg Opprett abonnement.

    1. Skriv inn et navn og en beskrivelse for abonnementet.

    2. Bekreft at Videresendte hendelser er valgt for målloggen. For at Defender for identitet skal kunne lese hendelsene, må målloggen være Videresendte hendelser.

    3. Velg Kildedatamaskin startet>Select Computers Grupper>Add Domain Computer.

      1. Skriv inn navnet på domenekontrolleren i feltet Skriv inn objektnavnet du vil velge .

      2. Velg Kontroller navn>OK>OK.

      3. Velg OK. Eksempel:

        Skjermbilde av dialogboksen Hendelsesliste.

    4. Velg Velg hendelser>etter loggsikkerhet>.

    5. Skriv inn hendelsesnummeret i feltet Inkluderer/utelater hendelses-ID , og velg OK. Skriv for eksempel inn 4776:

      Skjermbilde av spørringsdialogboksen.

    6. Gå tilbake til kommandovinduet som ble åpnet i det første trinnet. Kjør følgende kommandoer, og erstatt SubscriptionName med navnet du opprettet for abonnementet.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Gå tilbake til Hendelsesliste-konsollen. Høyreklikk på det opprettede abonnementet, og velg Runtime Status for å se om det er noen problemer med statusen.

    8. Etter noen minutter må du kontrollere at hendelsene du angir for videresending, vises i videresendte hendelser på den frittstående sensoren Defender for Identity.

Hvis du vil ha mer informasjon, kan du se: Konfigurere datamaskinene til å videresende og samle inn hendelser.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se: