Configurare l'inoltro di eventi di Windows al sensore autonomo defender per identità

  • Articolo

Questo articolo descrive un esempio di come configurare l'inoltro di eventi di Windows al sensore autonomo Microsoft Defender per identità. L'inoltro degli eventi è un metodo per migliorare le capacità di rilevamento con eventi Di Windows aggiuntivi che non sono disponibili dalla rete del controller di dominio. Per altre informazioni, vedere Panoramica della raccolta di eventi di Windows.

Importante

I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.

Prerequisiti

Prima di iniziare:

Passaggio 1: Aggiungere l'account del servizio di rete al dominio

Questa procedura descrive come aggiungere l'account del servizio di rete al dominio del gruppo lettori registro eventi. Per questo scenario, si supponga che il sensore autonomo Defender per identità sia un membro del dominio.

  1. In Utenti e computer di Active Directory passare alla cartella predefinita e fare doppio clic su Lettori registro eventi.

  2. Selezionare Membri.

  3. Se il servizio di rete non è elencato, selezionare Aggiungi e quindi immettere Servizio di rete nel campo Immettere i nomi degli oggetti da selezionare .

  4. Selezionare Controlla nomi e selezionare OK due volte.

Dopo aver aggiunto il servizio di rete al gruppo Lettori registro eventi, riavviare i controller di dominio per rendere effettiva la modifica.

Per altre informazioni, vedere Account Active Directory.

Passaggio 2: Creare un criterio che imposta l'impostazione Configura destinazione

Questa procedura descrive come creare un criterio nei controller di dominio per impostare l'impostazione Configura Gestione sottoscrizioni di destinazione

Suggerimento

È possibile creare criteri di gruppo per queste impostazioni e applicare i criteri di gruppo a ogni controller di dominio monitorato dal sensore autonomo Defender per identità. I passaggi seguenti modificano i criteri locali del controller di dominio.

  1. In ogni controller di dominio eseguire:

    winrm quickconfig

  2. Da un prompt dei comandi immettere

    gpedit.msc

  3. Espandere Configurazione > computer Amministrazione modelli > amministrativi Inoltro eventi componenti > di Windows. Ad esempio:

    Screenshot of the Local policy group editor dialog.

  4. Fare doppio clic su Configura Gestione sottoscrizioni di destinazione e quindi:

    1. Selezionare Enabled.

    2. In Opzioni selezionare Mostra.

    3. In SubscriptionManagers immettere il valore seguente e selezionare OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Ad esempio, usando Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Screenshot of the Configure target subscription dialog.

  5. Seleziona OK.

  6. Da un prompt dei comandi con privilegi elevati immettere:

    gpupdate /force

Passaggio 3: Creare e selezionare una sottoscrizione nel sensore

Questa procedura descrive come creare una sottoscrizione da usare con Defender per identità e quindi selezionarla dal sensore autonomo.

  1. Aprire un prompt dei comandi con privilegi elevati e immettere

    wecutil qc

  2. Aprire il Visualizzatore eventi.

  3. Fare clic con il pulsante destro del mouse su Sottoscrizioni e selezionare Crea sottoscrizione.

    1. Immettere un nome e una descrizione per la sottoscrizione.

    2. Per Log di destinazione verificare che sia selezionata l'opzione Eventi inoltrati. Per consentire a Defender per identità di leggere gli eventi, il log di destinazione deve essere Eventi inoltrati.

    3. Selezionare Computer di origine avviato>Selezionare Gruppi>di computer Aggiungi computer di dominio.

      1. Immettere il nome del controller di dominio nel campo Immettere il nome dell'oggetto da selezionare .

      2. Selezionare Controlla nomi>OK.>

      3. Seleziona OK. Ad esempio:

        Screenshot of the Event Viewer dialog.

    4. Selezionare Seleziona eventi>per sicurezza log.>

    5. Nel campo Include/Escludi ID evento digitare il numero di evento e selezionare OK. Ad esempio, immettere 4776:

      Screenshot of the Query dialog.

    6. Tornare alla finestra di comando aperta nel primo passaggio. Eseguire i comandi seguenti, sostituendo SubscriptionName con il nome creato per la sottoscrizione.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Tornare alla console di Visualizzatore eventi. Fare clic con il pulsante destro del mouse sulla sottoscrizione creata e selezionare Stato runtime per verificare se si verificano problemi con lo stato.

    8. Dopo alcuni minuti, verificare che gli eventi impostati per l'inoltro vengano visualizzati nel sensore autonomo Defender per identità negli eventi inoltrati.

Per altre informazioni, vedere Configurare i computer per inoltrare e raccogliere eventi.

Contenuto correlato

Per altre informazioni, vedi: