Active Directory传感器
该 Active Directory (AD)传感器负责收集并处理企业本地Active Directory中的用户登录信息。
先决条件
在设置 Active Directory 传感器以集成Microsoft Active Directory之前,请确保满足以下要求:
-
在具有域控制器角色、证书颁发机构角色或两者兼具的机器上:
-
BEST 已安装且 EDR 模块处于活动状态。
-
将 计算机配置 > 策略 > Windows设置 > 安全设置 > 高级审核策略配置 > 审核策略 组策略设置为审核所有登录事件,但 全局对象访问审核 策略除外。
-
-
在具有证书颁发机构角色的机器上,需在证书颁发机构MMC中选择所有 审核 > 要审核的事件 属性。
为域控制器和证书颁发机构角色配置策略
要为域控制器和证书颁发机构角色启用所需的组策略,请按照以下步骤操作:
-
打开 组策略管理 控制台。
-
在树状结构中导航至您的域 > 域控制器 ,然后选择 默认域控制器策略 .
-
右键单击 默认域控制器策略 并选择 编辑 .
随后将显示 计算机配置 窗口。
-
导航至 审核策略 : 计算机配置 > 策略 > Windows设置 > 安全设置 > 高级审核策略配置 > 审核策略 .
-
配置 审核策略 中除 全局对象访问审核 外的所有策略,如下所示:
-
应用更改。
-
打开 命令提示符 并运行以下命令:
gpupdate/force.您所做的策略更改将立即生效。
警告
确保这些审核策略不会被更高优先级的组策略对象覆盖。
配置证书颁发机构角色的属性
要配置证书颁发机构角色所需的属性,请按以下步骤操作:
-
打开证书颁发机构管理控制台。
-
右键单击您的证书颁发机构,然后选择 属性 .
-
点击 审核 选项卡。
-
勾选 要审核的事件 .
-
点击 确定 .
-
打开 命令提示符 并运行以下命令:
gpupdate/force.您所做的属性更改将立即生效。
设置Active Directory传感器
要在 Active Directory 中配置 GravityZone 控制中心 的传感器,请按照以下步骤操作:
-
在 配置 > 传感器管理 页面中,选择 新增 以集成新传感器。
-
选择 Active Directory 传感器并点击 集成 .
提示
若Active Directory传感器未授权,可使用 添加许可证 按钮打开 GravityZone 许可管理界面并添加许可证。
-
在 检查要求 页面,确认已完成所有先决步骤。
-
点击要监控的域。
将显示具有域控制器角色、证书颁发机构角色或两者兼具的主机列表。
注意
状态 栏会提示未完成的先决步骤。当满足所有要求时, 状态 将显示为 准备就绪 .
重要提示
要执行响应操作,所选域必须至少有一台在线的域控制器且已安装 BEST 并搭载 EDR 功能。
-
选择 添加传感器 ,然后点击 完成 .
新集成的传感器将出现在 传感器管理 网格中。
重要提示
若使用混合Active Directory架构,请确保同时部署 Azure AD传感器 .
删除域控制器或证书颁发机构传感器
要删除域控制器或证书颁发机构传感器,必须首先确保其处于离线或非托管状态。
如果仅剩一个域控制器或证书颁发机构传感器,则无法通过此选项删除。此时可删除整个传感器集成。相关详情请参阅 管理传感器 .
要从Active Directory集成中删除域控制器或证书颁发机构传感器,请按以下步骤操作:
-
前往 配置 > 传感器管理 页面(位于 GravityZone 控制中心 .
-
点击需要修改的Active Directory传感器集成。
详细信息面板将显示该集成下所有域控制器和证书颁发机构传感器。
-
在详细信息面板中,点击 删除 按钮(位于域控制器或证书颁发机构传感器正下方)。
-
再次点击 删除 以确认操作。
域控制器或证书颁发机构传感器将从详细信息面板中移除。
注意
若域控制器或证书颁发机构传感器重新上线,系统会自动将其添加回详细信息面板并继续处理数据。