Partager via

Configurer le transfert d’événements Windows vers votre capteur autonome Defender pour Identity

  • Article

Cet article décrit un exemple de configuration du transfert d’événements Windows vers votre capteur autonome Microsoft Defender pour Identity. Le transfert d’événements est une méthode permettant d’améliorer vos capacités de détection avec des événements Windows supplémentaires qui ne sont pas disponibles à partir du réseau du contrôleur de domaine. Pour plus d’informations, consultez Vue d’ensemble de la collecte d’événements Windows.

Importante

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal de suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Configuration requise

Avant de commencer :

Étape 1 : Ajouter le compte de service réseau au domaine

Cette procédure explique comment ajouter le compte de service réseau au domaine du groupe lecteurs du journal des événements . Pour ce scénario, supposons que le capteur autonome Defender pour Identity soit membre du domaine.

  1. Dans Utilisateurs et ordinateurs d’Active Directory, accédez au dossier intégré et double-cliquez sur Lecteurs du journal des événements.

  2. Sélectionnez Membres.

  3. Si le service réseau n’est pas répertorié, sélectionnez Ajouter, puis entrez Service réseau dans le champ Entrez les noms d’objets à sélectionner .

  4. Sélectionnez Vérifier les noms , puis ok deux fois.

Après avoir ajouté le service réseau au groupe Lecteurs du journal des événements , redémarrez les contrôleurs de domaine pour que la modification prenne effet.

Pour plus d’informations, consultez Comptes Active Directory.

Étape 2 : Créer une stratégie qui définit le paramètre Configurer la cible

Cette procédure explique comment créer une stratégie sur les contrôleurs de domaine pour définir le paramètre Configurer le Gestionnaire d’abonnements cible

Conseil

Vous pouvez créer une stratégie de groupe pour ces paramètres et appliquer la stratégie de groupe à chaque contrôleur de domaine surveillé par le capteur autonome Defender pour Identity. Les étapes suivantes modifient la stratégie locale du contrôleur de domaine.

  1. Sur chaque contrôleur de domaine, exécutez :

    winrm quickconfig

  2. À partir d’une invite de commandes, entrez

    gpedit.msc

  3. Développez Configuration > ordinateur Modèles d’administration > Composants > Windows Transfert d’événements. Par exemple :

    Capture d’écran de la boîte de dialogue Éditeur de groupe de stratégies locales.

  4. Double-cliquez sur Configurer le Gestionnaire d’abonnements cible , puis :

    1. Sélectionnez Activé.

    2. Sous Options, sélectionnez Afficher.

    3. Sous SubscriptionManagers, entrez la valeur suivante et sélectionnez OK :

      Server=http ://<fqdnMicrosoftDefenderForIdentitySensor> :5985/wsman/SubscriptionManager/WEC,Refresh=10

      Par exemple, à l’aide de Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 :

      Capture d’écran de la boîte de dialogue Configurer l’abonnement cible.

  5. Sélectionnez OK.

  6. À partir d’une invite de commandes avec élévation de privilèges, entrez :

    gpupdate /force

Étape 3 : Créer et sélectionner un abonnement sur votre capteur

Cette procédure explique comment créer un abonnement à utiliser avec Defender pour Identity, puis le sélectionner à partir de votre capteur autonome.

  1. Ouvrez une invite de commandes avec élévation de privilèges et entrez

    wecutil qc

  2. Ouvrez observateur d'événements.

  3. Cliquez avec le bouton droit sur Abonnements , puis sélectionnez Créer un abonnement.

    1. Entrez un nom et une description pour l’abonnement.

    2. Pour Journal de destination, vérifiez que l’option Événements transférés est sélectionnée. Pour que Defender pour Identity puisse lire les événements, le journal de destination doit être Des événements transférés.

    3. Sélectionnez Ordinateur source lancé>Sélectionner des ordinateurs Groupes>Ajouter un ordinateur de domaine.

      1. Entrez le nom du contrôleur de domaine dans le champ Entrez le nom de l’objet à sélectionner .

      2. Sélectionnez Vérifier les noms>OK>OK.

      3. Sélectionnez OK. Par exemple :

        Capture d’écran de la boîte de dialogue observateur d'événements.

    4. Sélectionnez Sélectionner des événements>par sécurité du journal>.

    5. Dans le champ ID d’événement inclut/exclu, tapez le numéro d’événement et sélectionnez OK. Par exemple, entrez 4776 :

      Capture d’écran de la boîte de dialogue Requête.

    6. Revenez à la fenêtre de commande ouverte à la première étape. Exécutez les commandes suivantes, en remplaçant SubscriptionName par le nom que vous avez créé pour l’abonnement.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Revenez à la console observateur d'événements. Cliquez avec le bouton droit sur l’abonnement créé et sélectionnez État d’exécution pour voir s’il existe des problèmes avec le status.

    8. Après quelques minutes, case activée pour voir que les événements que vous définissez pour être transférés s’affichent dans les événements transférés sur le capteur autonome Defender pour Identity.

Pour plus d’informations, consultez Configurer les ordinateurs pour transférer et collecter des événements.

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :