Active Directory传感器
该 Active Directory (AD)传感器会收集并处理来自企业本地Active Directory的用户登录信息。
先决条件
在设置 Active Directory 传感器以集成Microsoft Active Directory前,请确保满足以下要求:
-
在具有域控制器角色、证书颁发机构角色或两者兼具的计算机上:
-
BEST 已安装且 EDR 模块处于活动状态。
-
确保 计算机配置 > 策略 > Windows设置 > 安全设置 > 高级审核策略配置 > 审核策略 组策略已设置为审核所有登录事件( 全局对象访问审核 策略除外)。
-
-
在具有证书颁发机构角色的计算机上,需在证书颁发机构MMC中选择所有 审核 > 要审核的事件 属性。
为域控制器和证书颁发机构角色配置策略
要启用域控制器和证书颁发机构角色所需的组策略,请按以下步骤操作:
-
打开 组策略管理 控制台。
-
在树状结构中导航至您的域 > 域控制器 ,并选择 默认域控制器策略 .
-
右键点击 默认域控制器策略 并选择 编辑 .
随后 计算机配置 窗口将显示。
-
导航至 审核策略 : 计算机配置 > 策略 > Windows设置 > 安全设置 > 高级审核策略配置 > 审核策略 .
-
配置 审核策略 内除 全局对象访问审核 ,如下所示:
-
应用更改。
-
打开 命令提示符 并运行以下命令:
gpupdate/force.您所做的策略更改将立即生效。
警告
确保这些审核策略不会被更高优先级的组策略对象覆盖。
配置证书颁发机构角色的属性
要配置证书颁发机构角色所需的属性,请按以下步骤操作:
-
打开证书颁发机构管理控制台。
-
右键单击您的证书颁发机构,然后选择 属性 .
-
点击 审核 选项卡。
-
勾选 要审核的事件 .
-
点击 确定 .
-
打开 命令提示符 并运行以下命令:
gpupdate/force.您所做的属性更改将立即生效。
设置Active Directory传感器
要在 Active Directory 中配置 GravityZone 控制中心 的传感器,请按照以下步骤操作:
-
在 配置 > 传感器管理 页面,选择 新增 以集成新传感器。
-
选择您要部署传感器的公司。
-
选择 Active Directory 传感器并点击 集成 .
提示
如果Active Directory传感器未获得许可,您可以使用 添加许可证 按钮打开 GravityZone 许可部分并添加许可证。
-
在 检查要求 在该页面上,确认已完成所有先决步骤。
-
点击您要监控的域。
系统将显示具有域控制器角色、证书颁发机构角色或两者兼具的主机列表。
注意
状态 栏会提示未完成的先决步骤。当满足所有要求时, 状态 将显示为 准备就绪 .
重要提示
若要执行响应操作,所选域必须至少有一台在线的域控制器,且已安装 BEST 与 EDR 组件。
-
选择 添加传感器 ,然后点击 完成 .
新集成的传感器将出现在 传感器管理 网格中。
重要提示
若使用混合Active Directory架构,请确保同时部署Azure AD传感器。详情请参阅 Azure AD传感器 .
删除域控制器或证书颁发机构传感器
删除域控制器或证书颁发机构传感器前,需确保其处于离线或非托管状态。
若仅剩一个域控制器或证书颁发机构传感器,则无法通过此选项删除。此时需删除整个传感器集成。相关详情请参阅 管理传感器 .
要从Active Directory集成中删除域控制器或证书颁发机构传感器,请按以下步骤操作:
-
前往 配置 > 传感器管理 页面(位于 GravityZone 控制中心 .
-
单击需要修改的Active Directory传感器集成。
详细信息面板将显示该集成下所有域控制器及证书颁发机构传感器。
-
在详细信息面板中,点击 删除 按钮(位于域控制器或证书颁发机构传感器正下方)。
-
再次点击 删除 以确认操作。
该传感器将从详细信息面板中移除。
注意
若域控制器或证书颁发机构传感器重新上线,系统将自动将其添加回详细信息面板并继续处理数据。