Konfigurera vidarebefordran av Windows-händelser till din fristående Defender for Identity-sensor

Den här artikeln beskriver ett exempel på hur du konfigurerar vidarebefordran av Windows-händelser till din fristående Sensor för Microsoft Defender för identitet. Vidarebefordran av händelser är en metod för att förbättra dina identifieringsfunktioner med extra Windows-händelser som inte är tillgängliga från domänkontrollantnätverket. Mer information finns i Översikt över Windows-händelsesamling.

Viktigt!

Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.

Förutsättningar

Innan du börjar:

• Kontrollera att domänkontrollanten är korrekt konfigurerad för att samla in nödvändiga händelser. Mer information finns i Händelseinsamling med Microsoft Defender för identitet.
• Konfigurera portspegling

Steg 1: Lägg till nätverkstjänstkontot i domänen

Den här proceduren beskriver hur du lägger till nätverkstjänstkontot i gruppdomänen Händelseloggläsare . I det här scenariot förutsätter du att den fristående Defender for Identity-sensorn är medlem i domänen.

1. I Active Directorys användare och datorer går du till den inbyggda mappen och dubbelklickar på Händelseloggläsare.

2. Välj Medlemmar.

3. Om nätverkstjänsten inte visas väljer du Lägg till och anger sedan Nätverkstjänst i fältet Ange objektnamnen som ska väljas .

4. Välj Kontrollera namn och välj OK två gånger.

När du har lagt till nätverkstjänsten i gruppen Händelseloggläsare startar du om domänkontrollanterna för att ändringen ska börja gälla.

Mer information finns i Active Directory-konton.

Steg 2: Skapa en princip som anger inställningen Konfigurera mål

Den här proceduren beskriver hur du skapar en princip på domänkontrollanterna för att ange inställningen Konfigurera målprenumerationshanteraren

Dricks

Du kan skapa en grupprincip för de här inställningarna och tillämpa grupprincipen på varje domänkontrollant som övervakas av den fristående sensorn Defender for Identity. Följande steg ändrar domänkontrollantens lokala princip.

1. Kör på varje domänkontrollant:

   winrm quickconfig
   

2. Från en kommandotolk anger du följande:

   gpedit.msc
   

3. Expandera Datorkonfiguration > Administrativa mallar > Windows-komponenter > Händelsevidarebefordring. Till exempel:

   

4. Dubbelklicka på Konfigurera målprenumerationshanteraren och sedan:

   1. Välj Aktiverad.

   2. Under Alternativ väljer du Visa.

   3. Under SubscriptionManagers anger du följande värde och väljer OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Du kan till exempel använda Server=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      

5. Välj OK.

6. Från en upphöjd kommandotolk anger du:

   gpupdate /force
   

Steg 3: Skapa och välj en prenumeration på sensorn

Den här proceduren beskriver hur du skapar en prenumeration för användning med Defender för identitet och sedan väljer den från din fristående sensor.

1. Öppna en upphöjd kommandotolk och ange

   wecutil qc
   

2. Öppna Loggboken.

3. Högerklicka på Prenumerationer och välj Skapa prenumeration.

   1. Ange ett namn och en beskrivning för prenumerationen.

   2. För Målloggen bekräftar du att Vidarebefordrade händelser har valts. För att Defender för identitet ska kunna läsa händelserna måste målloggen vara Vidarebefordrade händelser.

   3. Välj Källdator initierad>Välj datorgrupper>Lägg till domändator.

      1. Ange namnet på domänkontrollanten i fältet Ange objektnamnet som ska väljas .

      2. Välj Kontrollera namn>OK.>

      3. Välj OK. Till exempel:

         

   4. Välj Välj händelser>efter loggsäkerhet>.

   5. I fältet Inkluderar/exkluderar händelse-ID anger du händelsenumret och väljer OK. Ange till exempel 4776:

      

   6. Gå tillbaka till kommandofönstret som öppnades i det första steget. Kör följande kommandon och ersätt SubscriptionName med namnet du skapade för prenumerationen.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      

   7. Gå tillbaka till Loggboken-konsolen. Högerklicka på den skapade prenumerationen och välj Körningsstatus för att se om det finns några problem med statusen.

   8. Efter några minuter kontrollerar du att de händelser som du har angett att vidarebefordras visas i den fristående sensorn Vidarebefordrade händelser på defender för identitet.

Mer information finns i: Konfigurera datorerna att vidarebefordra och samla in händelser.

Relaterat innehåll

Mer information finns i:

• Konfigurera portspegling
• Lyssna efter SIEM-händelser på din fristående Defender for Identity-sensor