Udostępnij za pośrednictwem

Konfigurowanie przekazywania zdarzeń systemu Windows do czujnika autonomicznego usługi Defender for Identity

  • Artykuł

W tym artykule opisano przykład konfigurowania przekazywania zdarzeń systemu Windows do Microsoft Defender for Identity czujnika autonomicznego. Przekazywanie zdarzeń to jedna z metod zwiększania możliwości wykrywania przy użyciu dodatkowych zdarzeń systemu Windows, które nie są dostępne w sieci kontrolera domeny. Aby uzyskać więcej informacji, zobacz Omówienie zbierania zdarzeń systemu Windows.

Ważna

Czujniki autonomiczne usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń dla systemu Windows (ETW), które dostarczają dane na potrzeby wielu wykryć. Aby uzyskać pełne pokrycie środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.

Wymagania wstępne

Przed rozpoczęciem:

Krok 1. Dodawanie konta usługi sieciowej do domeny

W tej procedurze opisano sposób dodawania konta usługi sieciowej do domeny grupy czytników dzienników zdarzeń . W tym scenariuszu załóżmy, że autonomiczny czujnik usługi Defender for Identity jest członkiem domeny.

  1. W obszarze Użytkownicy i komputery usługi Active Directory przejdź do wbudowanego folderu i kliknij dwukrotnie pozycję Czytniki dzienników zdarzeń.

  2. Wybierz pozycję Członkowie.

  3. Jeśli usługa sieciowa nie znajduje się na liście, wybierz pozycję Dodaj, a następnie wprowadź wartość Usługa sieciowa w polu Wprowadź nazwy obiektów do wybrania .

  4. Wybierz pozycję Sprawdź nazwy i dwukrotnie wybierz przycisk OK .

Po dodaniu usługi sieciowej do grupy Czytniki dziennika zdarzeń uruchom ponownie kontrolery domeny, aby zmiany zaczęły obowiązywać.

Aby uzyskać więcej informacji, zobacz Konta usługi Active Directory.

Krok 2. Tworzenie zasad, które ustawiają ustawienie Konfiguruj cel

W tej procedurze opisano sposób tworzenia zasad na kontrolerach domeny w celu ustawienia Konfigurowanie docelowego menedżera subskrypcji

Porada

Możesz utworzyć zasady grupy dla tych ustawień i zastosować zasady grupy do każdego kontrolera domeny monitorowanego przez czujnik autonomiczny usługi Defender for Identity. Poniższe kroki modyfikują zasady lokalne kontrolera domeny.

  1. Na każdym kontrolerze domeny uruchom polecenie:

    winrm quickconfig

  2. W wierszu polecenia wprowadź polecenie

    gpedit.msc

  3. Rozwiń węzeł Konfiguracja > komputera Szablony administracyjne Usługi przesyłania dalej zdarzeń składników >> systemu Windows. Przykład:

    Zrzut ekranu przedstawiający okno dialogowe Edytor grup zasad lokalnych.

  4. Kliknij dwukrotnie pozycję Konfiguruj docelowego Menedżera subskrypcji , a następnie:

    1. Wybierz pozycję Włączone.

    2. W obszarze Opcje wybierz pozycję Pokaż.

    3. W obszarze SubscriptionManagers wprowadź następującą wartość i wybierz przycisk OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Na przykład przy użyciu serwera Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Zrzut ekranu przedstawiający okno dialogowe Konfigurowanie subskrypcji docelowej.

  5. Wybierz przycisk OK.

  6. W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź:

    gpupdate /force

Krok 3. Tworzenie i wybieranie subskrypcji w czujniku

W tej procedurze opisano sposób tworzenia subskrypcji do użycia z usługą Defender for Identity, a następnie wybierania jej z czujnika autonomicznego.

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wprowadź polecenie

    wecutil qc

  2. Otwórz Podgląd zdarzeń.

  3. Kliknij prawym przyciskiem myszy pozycję Subskrypcje i wybierz pozycję Utwórz subskrypcję.

    1. Wprowadź nazwę i opis subskrypcji.

    2. W obszarze Dziennik docelowy upewnij się, że wybrano opcję Zdarzenia przekazane dalej. Aby usługa Defender for Identity mogła odczytywać zdarzenia, dziennik docelowy musi mieć wartość Zdarzenia przekazane dalej.

    3. Wybierz pozycję Komputer źródłowy zainicjowany>Wybierz komputery Grupy>Dodaj komputer domeny.

      1. Wprowadź nazwę kontrolera domeny w polu Wprowadź nazwę obiektu do wybrania .

      2. Wybierz pozycję Sprawdź nazwy>OK>.

      3. Wybierz przycisk OK. Przykład:

        Zrzut ekranu przedstawiający okno dialogowe Podgląd zdarzeń.

    4. Wybierz pozycję Wybierz zdarzenia>według zabezpieczeń dziennika>.

    5. W polu Obejmuje/wyklucza identyfikator zdarzenia wpisz numer zdarzenia i wybierz przycisk OK. Na przykład wprowadź wartość 4776:

      Zrzut ekranu przedstawiający okno dialogowe Zapytanie.

    6. Wróć do okna polecenia otwartego w pierwszym kroku. Uruchom następujące polecenia, zastępując parametr SubscriptionName nazwą utworzoną dla subskrypcji.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Wróć do konsoli Podgląd zdarzeń. Kliknij prawym przyciskiem myszy utworzoną subskrypcję i wybierz pozycję Stan środowiska uruchomieniowego , aby sprawdzić, czy występują problemy ze stanem.

    8. Po kilku minutach sprawdź, czy zdarzenia, które mają być przekazywane, są wyświetlane w czujniku autonomicznym usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz Konfigurowanie komputerów do przesyłania dalej i zbierania zdarzeń.

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach: