Поделиться через

Настройка переадресации событий Windows на автономный датчик Defender для удостоверений

  • Статья

В этой статье описывается пример настройки переадресации событий Windows на автономный датчик Microsoft Defender для удостоверений. Переадресация событий — это один из способов расширения возможностей обнаружения с помощью дополнительных событий Windows, недоступных в сети контроллера домена. Дополнительные сведения см. в статье Общие сведения о коллекции событий Windows.

Важно!

Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.

Предварительные условия

Перед началом работы:

Шаг 1. Добавление учетной записи сетевой службы в домен

В этой процедуре описывается добавление учетной записи сетевой службы в домен группы читателей журнала событий . В этом сценарии предположим, что автономный датчик Defender для удостоверений является членом домена.

  1. В разделе Пользователи и компьютеры Active Directory перейдите в папку Встроенные и дважды щелкните средства чтения журнала событий.

  2. Выберите Участники.

  3. Если сетевая служба не указана в списке, нажмите кнопку Добавить, а затем введите Сетевая служба в поле Введите имена объектов для выбора .

  4. Выберите Проверить имена и дважды нажмите кнопку ОК .

После добавления сетевой службы в группу читателей журнала событий перезагрузите контроллеры домена, чтобы изменения вступили в силу.

Дополнительные сведения см. в статье Учетные записи Active Directory.

Шаг 2. Создание политики, которая задает параметр Настроить целевой объект

В этой процедуре описывается, как создать политику на контроллерах домена, чтобы задать параметр Configure target Subscription Manager ( Настройка целевого диспетчера подписок).

Совет

Вы можете создать групповую политику для этих параметров и применить групповую политику к каждому контроллеру домена, отслеживаемого автономным датчиком Defender для удостоверений. Ниже приведены шаги по изменению локальной политики контроллера домена.

  1. На каждом контроллере домена выполните следующую команду:

    winrm quickconfig

  2. В командной строке введите

    gpedit.msc

  3. Разверните узел Конфигурация > компьютера Административные шаблоны > Компоненты > Windows Переадресация событий. Например:

    Снимок экрана: диалоговое окно редактора локальной группы политик.

  4. Дважды щелкните Настроить целевой диспетчер подписок , а затем:

    1. Щелкните Включено.

    2. В разделе Параметры выберите Показать.

    3. В разделе SubscriptionManagers введите следующее значение и нажмите кнопку ОК:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Например, с помощью Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Снимок экрана: диалоговое окно

  5. Нажмите OK.

  6. В командной строке с повышенными привилегиями введите:

    gpupdate /force

Шаг 3. Создание и выбор подписки на датчике

В этой процедуре описывается, как создать подписку для использования с Defender для удостоверений, а затем выбрать ее из автономного датчика.

  1. Откройте командную строку с повышенными привилегиями и введите

    wecutil qc

  2. Откройте Просмотр событий.

  3. Щелкните правой кнопкой мыши Подписки и выберите Создать подписку.

    1. Введите имя и описание подписки.

    2. В поле Журнал назначения убедитесь, что выбран параметр Переадресованные события . Чтобы Defender для удостоверений считывал события, в целевом журнале должны быть переадресованы события.

    3. Выберите Исходный компьютер, инициированный>Выбор компьютеров Группы>Добавить компьютер домена.

      1. Введите имя контроллера домена в поле Введите имя объекта для выбора .

      2. Выберите Проверить имена>ОК>.

      3. Нажмите OK. Например:

        Снимок экрана: диалоговое окно Просмотр событий.

    4. Выберите Выбрать события> побезопасностижурнала>.

    5. В поле Includes/Excludes Event ID (Включает и исключает идентификатор события ) введите номер события и нажмите кнопку ОК. Например, введите 4776:

      Снимок экрана: диалоговое окно

    6. Вернитесь в командное окно, открытое на первом шаге. Выполните следующие команды, заменив SubscriptionName именем, созданным для подписки.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Вернитесь в консоль Просмотр событий. Щелкните правой кнопкой мыши созданную подписку и выберите Состояние среды выполнения , чтобы узнать, есть ли проблемы с состоянием.

    8. Через несколько минут проверка, чтобы увидеть, что события, настроенные для переадресации, отображаются в переадресации событий на автономном датчике Defender для удостоверений.

Дополнительные сведения см. в статье Настройка компьютеров для пересылки и сбора событий.

Связанные материалы

Дополнительные сведения см. в разделе: