Configurar el reenvío de eventos de Windows

Nota

El Microsoft Defender for Identity sensor lee automáticamente los eventos localmente, sin necesidad de configurar el reenvío de eventos.

Para mejorar las funcionalidades de detección, Defender for Identity necesita los Windows eventos enumerados en Configuración de la recopilación de eventos. El sensor de Defender for Identity puede leerlos automáticamente o, en caso de que el sensor de Defender for Identity no esté implementado, se puede reenviar al sensor independiente de Defender for Identity de una de estas dos maneras: configurando el sensor independiente de Defender for Identity para escuchar eventos SIEM o configurando el reenvío de eventos de Windows.

Nota

  • Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.
  • Compruebe que el controlador de dominio esté configurado correctamente para capturar los eventos necesarios.

Configuración de WEF para el sensor independiente de Defender for Identity con reflejo de puertos

Después de configurar la creación de reflejo del puerto desde los controladores de dominio al sensor independiente de Defender for Identity, siga las instrucciones siguientes para configurar el reenvío de eventos Windows mediante la configuración iniciada por el origen. Se trata de una manera de configurar el reenvío de eventos de Windows.

Paso 1: Incorporación de la cuenta de servicio de red al grupo de lectores del registro de eventos de dominio

En este escenario, suponga que el sensor independiente de Defender for Identity es miembro del dominio.

  1. Abra Usuarios y equipos de Active Directory, vaya a la carpeta BuiltIn y haga doble clic en Lectores del registro de eventos.
  2. Seleccione Miembros.
  3. Si no aparece Servicio de red, haga clic en Agregar y escriba Servicio de red en el campo Escribir los nombres de objeto para seleccionar. Haga clic en Comprobar nombres y luego en Aceptar dos veces.

Después de agregar el servicio de red al grupo Lectores del registro de eventos, reinicie los controladores de dominio para que el cambio surta efecto.

Paso 2: Creación de una directiva en los controladores de dominio para establecer el valor Configurar el administrador de suscripciones de destino

Nota

Puede crear una directiva de grupo para esta configuración y aplicar la directiva de grupo a cada controlador de dominio supervisado por el sensor independiente de Defender for Identity. Los pasos siguientes modifican la directiva local del controlador de dominio.

  1. Ejecute el siguiente comando en cada controlador de dominio: winrm quickconfig

  2. En una ventana de símbolo del sistema, escriba: gpedit.msc.

  3. Expanda Configuración del equipo Plantillas administrativas Windows reenvío de eventos de >> componentes

    Imagen del editor de grupo de directiva local.

  4. Haga doble clic en Configurar el administrador de suscripciones de destino.

    1. Seleccione Habilitado.
    2. En Opciones, haga clic en Mostrar.
    3. En SubscriptionManagers, escriba el siguiente valor y haga clic en Aceptar: (por ejemplo: )

    Configurar la imagen de la suscripción de destino.

  5. Haga clic en Aceptar.

  6. En un símbolo del sistema con privilegios elevados, escriba gpupdate /force.

Paso 3: Realice los pasos siguientes en el sensor independiente de Defender for Identity.

  1. Abra un símbolo del sistema con privilegios elevados y escriba wecutil qc . Deje abierta la ventana de comandos.

  2. Abra el Visor de eventos.

  3. Haga clic con el botón derecho en Suscripciones y seleccione Crear suscripción.

    1. Escriba un nombre y una descripción para la suscripción.

    2. Para Registro de destino, confirme que la opción Eventos reenviados está seleccionada. Para que Defender for Identity lea los eventos, el registro de destino debe ser Eventos reenviados.

    3. Seleccione Iniciada por el equipo de origen y haga clic en Seleccionar grupos de equipos.

      1. Haga clic en Agregar equipo de dominio.
      2. Escriba el nombre del controlador de dominio en el campo Escriba el nombre del objeto que desea seleccionar. A continuación, haga clic en Comprobar nombres y en Aceptar.
      3. Haga clic en Aceptar. Visor de eventos imagen.
    4. Haga clic en Seleccionar eventos.

      1. Haga clic en Por registro y seleccione seguridad.
      2. En el campo Incluye/excluye id. de evento, escriba el número de evento y haga clic en Aceptar. Puede escribir 4776, como en el ejemplo siguiente:
        Imagen de filtro de consulta.
    5. Vuelva a la ventana de comandos abierta en el primer paso. Ejecute los siguientes comandos, reemplazando SubscriptionName por el nombre que creó para la suscripción.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      
    6. Vuelva a la Visor de eventos consola. Haga clic con el botón derecho en la suscripción creada y seleccione Estado de tiempo de ejecución para ver si hay algún problema con el estado.

    7. Después de unos minutos, compruebe que los eventos que ha configurado para reenviar se muestran en los eventos reenviados en el sensor independiente de Defender for Identity.

Para obtener más información, vea: Configure the computers to forward and collect events (Configuración de los equipos para reenviar y recopilar eventos)

Consulte también