Dela via

Konfigurera vidarebefordran av Windows-händelser till din fristående Defender for Identity-sensor

  • Artikel

Den här artikeln beskriver ett exempel på hur du konfigurerar vidarebefordran av Windows-händelser till din Microsoft Defender for Identity fristående sensor. Vidarebefordran av händelser är en metod för att förbättra identifieringsförmågan med extra Windows-händelser som inte är tillgängliga från domänkontrollantnätverket. Mer information finns i Översikt över Windows-händelsesamling.

Viktigt

Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.

Förhandskrav

Innan du börjar:

Steg 1: Lägg till nätverkstjänstkontot i domänen

Den här proceduren beskriver hur du lägger till nätverkstjänstkontot i händelseloggens läsargruppdomän . I det här scenariot förutsätter vi att den fristående Defender for Identity-sensorn är medlem i domänen.

  1. I Active Directorys Användare och datorer går du till den inbyggda mappen och dubbelklickar på Händelseloggläsare.

  2. Välj Medlemmar.

  3. Om Nätverkstjänst inte finns med i listan väljer du Lägg till och anger sedan Nätverkstjänst i fältet Ange de objektnamn som ska väljas .

  4. Välj Kontrollera namn och välj OK två gånger.

När du har lagt till nätverkstjänsten i gruppen Händelseloggläsare startar du om domänkontrollanterna för att ändringen ska börja gälla.

Mer information finns i Active Directory-konton.

Steg 2: Skapa en princip som anger inställningen Konfigurera mål

Den här proceduren beskriver hur du skapar en princip på domänkontrollanterna för att ange inställningen Konfigurera målprenumerationshanteraren

Tips

Du kan skapa en grupprincip för de här inställningarna och tillämpa grupprincipen på varje domänkontrollant som övervakas av den fristående sensorn Defender for Identity. Följande steg ändrar domänkontrollantens lokala princip.

  1. Kör på varje domänkontrollant:

    winrm quickconfig

  2. Från en kommandotolk anger du

    gpedit.msc

  3. Expandera Datorkonfiguration > Administrativa mallar > Windows-komponenter > Händelsevidarebefordring. Till exempel:

    Skärmbild av dialogrutan Lokal principgruppredigerare.

  4. Dubbelklicka på Konfigurera målprenumerationshanteraren och sedan:

    1. Välj Aktiverad.

    2. Under Alternativ väljer du Visa.

    3. Under SubscriptionManagers anger du följande värde och väljer OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Du kan till exempel använda Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Skärmbild av dialogrutan Konfigurera målprenumeration.

  5. Välj OK.

  6. Från en upphöjd kommandotolk anger du:

    gpupdate /force

Steg 3: Skapa och välj en prenumeration på sensorn

Den här proceduren beskriver hur du skapar en prenumeration för användning med Defender för identitet och sedan väljer den från din fristående sensor.

  1. Öppna en upphöjd kommandotolk och ange

    wecutil qc

  2. Öppna Loggboken.

  3. Högerklicka på Prenumerationer och välj Skapa prenumeration.

    1. Ange ett namn och en beskrivning för prenumerationen.

    2. Bekräfta att Vidarebefordrade händelser har valts för Mållogg. För att Defender för identitet ska kunna läsa händelserna måste målloggen vara Vidarebefordrade händelser.

    3. Välj Källdator initierad>Välj datorer Grupper>Lägg till domändator.

      1. Ange namnet på domänkontrollanten i fältet Ange det objektnamn som ska väljas .

      2. Välj Kontrollera namn>OK>OK.

      3. Välj OK. Till exempel:

        Skärmbild av dialogrutan Loggboken.

    4. Välj Välj händelser>efter loggsäkerhet>.

    5. I fältet Inkluderar/exkluderar händelse-ID skriver du händelsenumret och väljer OK. Ange till exempel 4776:

      Skärmbild av dialogrutan Fråga.

    6. Gå tillbaka till kommandofönstret som öppnades i det första steget. Kör följande kommandon och ersätt SubscriptionName med det namn som du skapade för prenumerationen.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Gå tillbaka till Loggboken-konsolen. Högerklicka på den skapade prenumerationen och välj Körningsstatus för att se om det finns några problem med statusen.

    8. Efter några minuter kontrollerar du att de händelser som du har angett ska vidarebefordras visas i den fristående sensorn Vidarebefordrade händelser på defender för identitet.

Mer information finns i: Konfigurera datorerna så att de vidarebefordrar och samlar in händelser.

Relaterat innehåll

Mer information finns i: