Tek başına Kimlik için Defender algılayıcınıza Windows olay iletmeyi yapılandırma

  • Makale

Bu makalede, tek başına Kimlik için Microsoft Defender algılayıcınıza Windows olay iletmeyi yapılandırma örneği açıklanmaktadır. Olay iletme, etki alanı denetleyicisi ağından sağlanmayan ek Windows olaylarıyla algılama becerilerinizi geliştirmeye yönelik yöntemlerden biridir. Daha fazla bilgi için bkz . Windows olay koleksiyonuna genel bakış.

Önemli

Tek başına Kimlik için Defender algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.

Önkoşullar

Başlamadan önce:

1. Adım: Ağ hizmeti hesabını etki alanına ekleme

Bu yordam, ağ hizmeti hesabının Olay Günlüğü Okuyucular Grubu etki alanına nasıl ekleneceğini açıklar. Bu senaryo için Tek başına Kimlik için Defender algılayıcısının etki alanının bir üyesi olduğunu varsayalım.

  1. Active Directory'nin Kullanıcıları ve Bilgisayarları'nda, Yerleşik klasöre gidin ve Olay Günlüğü Okuyucuları'na çift tıklayın.

  2. Üyeler'i seçin.

  3. Ağ Hizmeti listede yoksa Ekle'yi seçin ve seçecek nesne adlarını girin alanına Ağ Hizmeti girin.

  4. Adları Denetle'yi seçin ve iki kez Tamam'ı seçin.

Ağ Hizmeti'ni Olay Günlüğü Okuyucuları grubuna ekledikten sonra, değişikliğin etkili olması için etki alanı denetleyicilerini yeniden başlatın.

Daha fazla bilgi için bkz . Active Directory hesapları.

2. Adım: Hedef yapılandırma ayarını ayarlayan bir ilke oluşturma

Bu yordamda, Hedef Abonelik Yöneticisini Yapılandır ayarını ayarlamak için etki alanı denetleyicilerinde bir ilkenin nasıl oluşturulacağı açıklanır

Bahşiş

Bu ayarlar için bir grup ilkesi oluşturabilir ve grup ilkesini Tek başına Kimlik için Defender algılayıcısı tarafından izlenen her etki alanı denetleyicisine uygulayabilirsiniz. Aşağıdaki adımlar etki alanı denetleyicisinin yerel ilkesini değiştirir.

  1. Her etki alanı denetleyicisinde şunu çalıştırın:

    winrm quickconfig

  2. Bir komut isteminden şu komutu girin:

    gpedit.msc

  3. Bilgisayar Yapılandırması > Yönetici Istrative Templates > Windows Bileşenleri > Olay İletme'yi genişletin. Örneğin:

    Screenshot of the Local policy group editor dialog.

  4. Hedef Abonelik Yöneticisini yapılandır'a çift tıklayın ve sonra:

    1. Etkin'i seçin.

    2. Seçenekler'in altında Göster'i seçin.

    3. SubscriptionManagers altında aşağıdaki değeri girin ve Tamam'ı seçin:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Örneğin, Server=,Refresh=http://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC10 kullanarak:

      Screenshot of the Configure target subscription dialog.

  5. Tamam seçeneğini işaretleyin.

  6. Yükseltilmiş komut isteminden şunu girin:

    gpupdate /force

3. Adım: Algılayıcınızda abonelik oluşturma ve seçme

Bu yordamda, Kimlik için Defender ile kullanmak üzere bir abonelik oluşturma ve ardından bunu tek başına algılayıcınızdan seçme işlemi açıklanır.

  1. Yükseltilmiş bir komut istemi açın ve

    wecutil qc

  2. Olay Görüntüleyicisi'ni açın.

  3. Abonelikler'e sağ tıklayın ve Abonelik Oluştur'u seçin.

    1. Abonelik için bir ad ve açıklama girin.

    2. Hedef Günlük için İletilen Olaylar'ın seçili olduğunu onaylayın. Kimlik için Defender'ın olayları okuması için hedef günlüğün İletilen Olaylar olması gerekir.

    3. Kaynak bilgisayar tarafından>başlatılan Bilgisayar Grupları>Etki Alanı Bilgisayarı Ekle'yi seçin.

      1. Seçecek nesne adını girin alanına etki alanı denetleyicisinin adını girin.

      2. Adları>Denetle Tamam'ı> seçin.

      3. Tamam seçeneğini işaretleyin. Örneğin:

        Screenshot of the Event Viewer dialog.

    4. Günlük>Güvenliğine Göre Olayları>Seç'i seçin.

    5. Olay Kimliğini Dahil Eder/Dışlar alanına olay numarasını yazın ve Tamam'ı seçin. Örneğin, 4776 girin:

      Screenshot of the Query dialog.

    6. İlk adımda açılan komut penceresine dönün. SubscriptionName değerini abonelik için oluşturduğunuz adla değiştirerek aşağıdaki komutları çalıştırın.

      wecutil ss "SubscriptionName" /cm:"Custom"
wecutil ss "SubscriptionName" /HeartbeatInterval:5000

    7. Olay Görüntüleyicisi konsoluna dönün. Oluşturulan aboneliğe sağ tıklayın ve durumla ilgili herhangi bir sorun olup olmadığını görmek için Çalışma Zamanı Durumu'nu seçin.

    8. Birkaç dakika sonra, iletilecek şekilde ayarladığınız olayların Tek başına Kimlik için Defender algılayıcısında İletilen Olaylar'da görüntülenip gösterilmediğini denetleyin.

Daha fazla bilgi için bkz. Bilgisayarları olayları iletecek ve toplayacak şekilde yapılandırma.

İlgili içerik

Daha fazla bilgi için bkz.