設定 Windows 事件轉送至適用於身分識別的 Defender 獨立感測器
本文說明如何設定 Windows 事件轉送至 適用於身分識別的 Microsoft Defender 獨立感測器的範例。 事件轉送是一種使用域控制器網路無法使用的額外 Windows 事件來增強偵測能力的方法。 如需詳細資訊,請參閱 Windows 事件集合概觀。
重要事項
適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,以提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。
必要條件
前置作業:
- 請確定域控制器已正確設定為擷取必要的事件。 如需詳細資訊,請參閱具有 適用於身分識別的 Microsoft Defender 的事件集合。
- 設定埠鏡像
步驟 1:將網路服務帳戶新增至網域
此程式描述如何將網路服務帳戶新增至 事件記錄讀取器群組 網域。 在此案例中,假設適用於身分識別的Defender獨立感測器是網域的成員。
在 Active Directory 的 [使用者和計算機] 中,移至 [內建 ] 資料夾,然後按兩下 [事件記錄檔讀取器]。
選取 [成員]。
如果未列出 [網络服務],請選取 [新增],然後在 [輸入要選取的物件名稱] 字段中輸入 [網络服務]。
選 取 [檢查名稱] ,然後選取 [確定] 兩次。
將 網路服務 新增至 事件記錄讀 取器群組之後,請重新啟動域控制器,變更才會生效。
如需詳細資訊,請參閱 Active Directory 帳戶。
步驟 2:建立設定設定目標設定的原則
此程式描述如何在域控制器上建立原則,以設定 [設定 目標 訂用帳戶管理員] 設定
提示
您可以建立這些設定的組策略,並將組策略套用至適用於身分識別的 Defender 獨立感測器所監視的每個域控制器。 下列步驟會修改域控制器的本機原則。
在每個域控制器上,執行:
winrm quickconfig從命令提示字元輸入
gpedit.msc展開 [計算機設定 > ] [系統管理 > 範本] [Windows 元件 > ] 事件轉送。 例如:
![[本機原則組編輯器] 對話框的螢幕快照。](../media/wef-1-local-group-policy-editor.png)
按兩下 [ 設定目標訂用帳戶管理員] ,然後:
選取 已啟用。
在 [ 選項] 底下,選取 [顯示]。
在 [SubscriptionManagers] 下,輸入下列值,然後選取 [ 確定]:
Server=http://
<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10例如,使用 Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:
![[設定目標訂用帳戶] 對話框的螢幕快照。](../media/wef-2-config-target-sub-manager.png)
選取 [確定]。
從提升權限的命令提示字元中,輸入:
gpupdate /force
步驟 3:在感測器上建立和選取訂用帳戶
此程式描述如何建立要與適用於身分識別的 Defender 搭配使用的訂用帳戶,然後從獨立感測器中選取它。
開啟提升許可權的命令提示字元,然後輸入
wecutil qc開啟 事件檢視器。
以滑鼠右鍵按兩下 [ 訂用帳戶] ,然後選取 [ 建立訂用帳戶]。
輸入訂用帳戶的名稱和描述。
針對 [目的地記錄檔],確認已選取 [轉送的事件 ]。 若要讓適用於身分識別的 Defender 讀取事件,目的地記錄檔必須是 Forwarded Events。
選取 [來源計算機起始>的選取計算機 群組>新增網域計算機]。
在 [ 輸入要選取的物件名稱 ] 字段中輸入域控制器的名稱。
選 取 [檢查名稱>][確定>]。
選取 [確定]。 例如:
![[事件檢視器] 對話框的螢幕快照。](../media/wef-3-event-viewer.png)
選取 [依記錄>選取事件>安全性]。
在 [ 包含/排除事件標識符 ] 字段中輸入事件編號,然後選取 [ 確定]。 例如,輸入 4776:
![[查詢] 對話框的螢幕快照。](../media/wef-4-query-filter.png)
返回在第一個步驟中開啟的命令視窗。 執行下列命令,並將 SubscriptionName 取代為您為訂用帳戶建立的名稱。
wecutil ss "SubscriptionName" /cm:"Custom" wecutil ss "SubscriptionName" /HeartbeatInterval:5000返回 事件檢視器 主控台。 以滑鼠右鍵按兩下建立的訂用帳戶,然後選取 [ 運行時間狀態 ],以查看狀態是否有任何問題。
幾分鐘后,請檢查您設定要轉寄的事件是否顯示在適用於身分識別的 Defender 獨立感測器上的 [轉送的事件] 中。
![[事件檢視器] 對話框的螢幕快照。](../media/wef-3-event-viewer.png#lightbox)
如需詳細資訊,請參閱: 設定計算機以轉送和收集事件。
相關內容
如需詳細資訊,請參閱: