Configurar o encaminhamento de eventos do Windows para o sensor autônomo do Defender para Identidade

Este artigo descreve um exemplo de como configurar o encaminhamento de eventos do Windows para o sensor autônomo do Microsoft Defender para Identidade. O encaminhamento de eventos é um método para aprimorar suas habilidades de detecção com eventos extras do Windows que não estão disponíveis na rede do controlador de domínio. Para obter mais informações, consulte Visão geral da coleta de eventos do Windows.

Importante

Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.

Pré-requisitos

Antes de começar:

Etapa 1: adicionar a conta do serviço de rede ao domínio

Este procedimento descreve como adicionar a conta do serviço de rede ao domínio Grupo de Leitores de Log de Eventos. Para esse cenário, suponha que o sensor autônomo do Defender para Identidade seja um membro do domínio.

  1. Em Usuários e Computadores do Active Directory, vá para a pasta Interno e clique duas vezes em Leitores de Log de Eventos.

  2. Selecione Membros.

  3. Se Serviço de Rede não estiver listado, selecione Adicionar e digite Serviço de Rede no campo Digite os nomes de objeto a serem selecionados.

  4. Selecione Verificar Nomes e selecione OK duas vezes.

Depois de adicionar o Serviço de Rede ao grupo Leitores de Log de Eventos, reinicialize os controladores de domínio para que a alteração entre em vigor.

Para obter mais informações, confira Contas do Active Directory.

Etapa 2: criar uma política para definir a opção Configurar destino

Este procedimento descreve como criar uma política nos controladores de domínio para definir a opção Configurar destino do Gerenciador de Assinaturas.

Dica

Você pode criar uma política de grupo para essas configurações e aplicar a política de grupo a cada controlador de domínio monitorado pelo sensor autônomo do Defender para Identidade. As etapas a seguir modificam a política local do controlador de domínio.

  1. Em cada controlador de domínio, execute:

    winrm quickconfig
    
  2. Em um prompt de comando, insira

    gpedit.msc
    
  3. Expanda Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encaminhamento de Eventos. Por exemplo:

    Captura de tela da caixa de diálogo do editor de grupo de política local.

  4. Clique duas vezes em Configurar Gerenciador de Assinaturas de destino.

    1. Selecione Habilitado.

    2. Em Opções, selecione Mostrar.

    3. Em SubscriptionManagers, insira o seguinte valor e selecione OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Por exemplo, usando Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Captura de tela da caixa de diálogo Configurar assinatura de destino.

  5. Selecione OK.

  6. Em um prompt de comandos com privilégios elevados, insira:

    gpupdate /force
    

Etapa 3: criar e selecionar uma assinatura no sensor

Este procedimento descreve como criar uma assinatura para uso com o Defender para Identidade e, em seguida, selecioná-la no sensor autônomo.

  1. Abra um prompt de comandos com privilégios elevados e insira

    wecutil qc
    
  2. Abra o Visualizador de Eventos.

  3. Clique com o botão direito do mouse em Assinaturas e selecione Criar assinatura.

    1. Insira um nome e uma descrição para a assinatura.

    2. Em Log de Destino, confirme se Eventos Encaminhados está selecionado. Para que o Defender para Identidade leia os eventos, o log de destino deve ser Eventos Encaminhados.

    3. Selecione Iniciada pelo computador de origem>Selecionar Grupos de Computadores>Adicionar Computador de Domínio.

      1. Insira o nome do controlador de domínio no campo Inserir o nome do objeto para selecionar.

      2. Selecione Verificar Nomes>OK>OK.

      3. Selecione OK. Por exemplo:

        Captura de tela da caixa de diálogo Visualizador de Eventos.

    4. Selecione Selecionar Eventos>Por log>Segurança.

    5. No campo Inclui/Exclui ID do Evento, digite o número do evento e selecione OK. Por exemplo, insira 4776:

      Captura de tela da caixa de diálogo Consulta.

    6. Retorne à janela de comando aberta na primeira etapa. Execute os comandos a seguir, substituindo SubscriptionName pelo nome que você criou para a assinatura.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      
    7. Retorne ao console do Visualizador de Eventos. Clique com o botão direito do mouse na assinatura criada e selecione Status do Runtime para ver se há algum problema com o status.

    8. Depois de alguns minutos, verifique se os eventos que você definiu para serem encaminhados estão aparecendo em Eventos Encaminhados no sensor autônomo do Defender para Identidade.

Para obter mais informações, consulte Configurar os computadores para encaminhar e coletar eventos.

Para saber mais, veja: