配置 Windows 事件转发到 Defender for Identity 独立传感器
本文介绍了如何配置 Windows 事件转发到Microsoft Defender for Identity独立传感器的示例。 事件转发是一种通过域控制器网络中不可用的额外 Windows 事件增强检测能力的方法。 有关详细信息,请参阅 Windows 事件集合概述。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW 事件跟踪) 日志条目,这些日志条目为多个检测提供数据。 为了全面覆盖环境,建议部署 Defender for Identity 传感器。
先决条件
开始之前:
- 请确保域控制器已正确配置为捕获所需的事件。 有关详细信息,请参阅使用 Microsoft Defender for Identity 的事件集合。
- 配置端口镜像
步骤 1:将网络服务帐户添加到域
此过程介绍如何将网络服务帐户添加到 事件日志读取器组 域。 对于此方案,假定 Defender for Identity 独立传感器是域的成员。
在 Active Directory 的“用户和计算机”中,转到 “内置 ”文件夹,然后双击“ 事件日志读取器”。
选择“成员”。
如果未列出“网络服务”,请选择“添加”,然后在“输入要选择的对象名称”字段中输入“网络服务”。
选择“ 检查名称 ”,然后选择 “确定” 两次。
将 网络服务 添加到 事件日志读取器 组后,重新启动域控制器,使更改生效。
有关详细信息,请参阅 Active Directory 帐户。
步骤 2:创建设置“配置目标”设置的策略
此过程介绍如何在域控制器上创建策略以设置 “配置目标 订阅管理器”设置
提示
可以为这些设置创建组策略,并将组策略应用于由 Defender for Identity 独立传感器监视的每个域控制器。 以下步骤修改域控制器的本地策略。
在每个域控制器上,运行:
winrm quickconfig在命令提示符下,输入
gpedit.msc展开 “计算机配置 > 管理模板 > ”“Windows 组件 > 事件转发”。 例如:
双击“ 配置目标订阅管理器 ”,然后:
选择“已启用”。
在 “选项”下,选择“ 显示”。
在 “SubscriptionManagers”下,输入以下值,然后选择“ 确定”:
Server=http://
<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10例如,使用 Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:
选择“确定”。
在提升的命令提示符下,输入:
gpupdate /force
步骤 3:在传感器上创建并选择订阅
此过程介绍如何创建用于 Defender for Identity 的订阅,然后从独立传感器中选择它。
打开提升的命令提示符并输入
wecutil qc打开事件查看器。
右键单击“ 订阅 ”,然后选择“ 创建订阅”。
输入订阅的名称和说明。
对于 “目标日志”,确认已选择“ 转发事件 ”。 要使 Defender for Identity 读取事件,目标日志必须为 “转发事件”。
选择“启动的>源计算机”选择“组>添加域计算机”。
在“ 输入要选择的对象名称 ”字段中输入域控制器的名称。
选择“ 检查名称>确定>”。确定。
选择“确定”。 例如:
选择“按日志>安全性选择事件>”。
在 “包括/排除事件 ID ”字段中,键入事件编号并选择“ 确定”。 例如,输入 4776:
返回到第一步中打开的命令窗口。 运行以下命令,将 SubscriptionName 替换为为订阅创建的名称。
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000返回到事件查看器控制台。 右键单击创建的订阅,然后选择“ 运行时状态 ”以查看状态是否存在任何问题。
几分钟后,检查查看设置为转发的事件是否显示在 Defender for Identity 独立传感器上的“转发事件”中。
有关详细信息,请参阅: 将计算机配置为转发和收集事件。
相关内容
有关更多信息,请参阅: