مجموعة الأحداث مع Microsoft Defender for Identity

يتم تكوين مستشعر Microsoft Defender for Identity لتجميع أحداث syslog تلقائيا. بالنسبة لأحداث Windows، يعتمد الكشف عن Defender for Identity على سجلات أحداث محددة. يقوم المستشعر بتحليل سجلات الأحداث هذه من وحدات التحكم بالمجال.

مجموعة الأحداث لخوادم AD FS وخوادم AD CS وخوادم Microsoft Entra Connect ووحدات التحكم بالمجال

لكي يتم تدقيق الأحداث الصحيحة وتضمينها في سجل أحداث Windows، تتطلب خوادم خدمات الأمان المشترك لـ Active Directory (AD FS) أو خوادم خدمات شهادات Active Directory (AD CS) أو خوادم Microsoft Entra Connect أو وحدات التحكم بالمجال إعدادات دقيقة لنهج التدقيق المتقدم.

لمزيد من المعلومات، راجع تكوين نهج التدقيق لسجلات أحداث Windows.

مرجع الأحداث المطلوبة

يسرد هذا القسم أحداث Windows التي يتطلبها مستشعر Defender for Identity عند تثبيته على خوادم AD FS أو خوادم AD CS أو خوادم Microsoft Entra Connect أو وحدات التحكم بالمجال.

أحداث AD FS المطلوبة

الأحداث التالية مطلوبة لخوادم AD FS:

  • 1202: تحققت خدمة الاتحاد من صحة بيانات اعتماد جديدة
  • 1203: فشلت خدمة الاتحاد في التحقق من صحة بيانات اعتماد جديدة
  • 4624: تم تسجيل دخول حساب بنجاح
  • 4625: فشل حساب في تسجيل الدخول

لمزيد من المعلومات، راجع تكوين التدقيق على خدمات الأمان المشترك لـ Active Directory.

أحداث AD CS المطلوبة

الأحداث التالية مطلوبة لخوادم AD CS:

  • 4870: إبطال خدمات الشهادات شهادة
  • 4882: تم تغيير أذونات الأمان لخدمات الشهادات
  • 4885: تم تغيير عامل تصفية التدقيق لخدمات الشهادات
  • 4887: وافقت خدمات الشهادات على طلب شهادة وأصدرت شهادة
  • 4888: رفضت خدمات الشهادات طلب شهادة
  • 4890: تم تغيير إعدادات مدير الشهادات لخدمات الشهادات
  • 4896: تم حذف صف واحد أو أكثر من قاعدة بيانات الشهادة

لمزيد من المعلومات، راجع تكوين التدقيق لخدمات شهادات Active Directory.

أحداث Microsoft Entra Connect المطلوبة

الحدث التالي مطلوب لخوادم Microsoft Entra Connect:

  • 4624: تم تسجيل دخول حساب بنجاح

لمزيد من المعلومات، راجع تكوين التدقيق على Microsoft Entra Connect.

أحداث Windows الأخرى المطلوبة

أحداث Windows العامة التالية مطلوبة لجميع مستشعرات Defender for Identity:

  • 4662: تم تنفيذ عملية على كائن
  • 4726: حذف حساب المستخدم
  • 4728: تمت إضافة عضو إلى مجموعة الأمان العالمية
  • 4729: تمت إزالة العضو من مجموعة الأمان العمومية
  • 4730: تم حذف مجموعة الأمان العمومية
  • 4732: تمت إضافة عضو إلى مجموعة الأمان المحلية
  • 4733: تمت إزالة العضو من مجموعة الأمان المحلية
  • 4741: إضافة حساب الكمبيوتر
  • 4743: حذف حساب الكمبيوتر
  • 4753: تم حذف مجموعة التوزيع العمومية
  • 4756: تمت إضافة عضو إلى مجموعة الأمان العالمي
  • 4757: تمت إزالة العضو من مجموعة الأمان العالمي
  • 4758: تم حذف مجموعة الأمان العالمي
  • 4763: تم حذف مجموعة التوزيع العالمية
  • 4776: حاولت وحدة تحكم المجال التحقق من صحة بيانات الاعتماد لحساب (NTLM)
  • 5136: تم تعديل كائن خدمة الدليل
  • 7045: تم تثبيت خدمة جديدة
  • 8004: مصادقة NTLM

لمزيد من المعلومات، راجع تكوين تدقيق NTLM وتكوين تدقيق كائن المجال.

مجموعة الأحداث لأجهزة الاستشعار المستقلة

إذا كنت تعمل مع مستشعر Defender for Identity مستقل، فقم بتكوين مجموعة الأحداث يدويا باستخدام إحدى الطرق التالية:

هام

لا تدعم أدوات استشعار Defender for Identity المستقلة مجموعة إدخالات سجل تتبع الأحداث ل Windows (ETW) التي توفر البيانات لاكتشافات متعددة. للتغطية الكاملة لبيئتك، نوصي بنشر مستشعر Defender for Identity.

لمزيد من المعلومات، راجع وثائق المنتج لنظام SIEM أو خادم syslog الخاص بك.

الخطوة التالية