Shromažďování událostí pomocí Microsoft Defenderu for Identity
Senzor Microsoft Defenderu pro identitu je nakonfigurovaný tak, aby automaticky shromažďoval události syslogu. V případě událostí Windows spoléhá Funkce Defender for Identity na konkrétní protokoly událostí, které senzor parsuje z řadičů domény.
Shromažďování událostí pro řadiče domény a servery AD FS / AD CS
Aby bylo možné auditovat a zahrnout správné události do protokolu událostí Systému Windows, vyžadují řadiče domény nebo servery AD FS / AD CS přesné a pokročilé nastavení zásad auditu.
Další informace najdete v tématu Konfigurace zásad auditu pro protokoly událostí Systému Windows.
Odkaz na požadované události
Tato část obsahuje seznam událostí Windows vyžadovaných senzorem Identity Defenderu pro identity, když je nainstalovaný na serverech AD FS nebo AD CS nebo na řadičích domény.
Požadované události Active Directory Federation Services (AD FS) (AD FS)
Pro servery Active Directory Federation Services (AD FS) (AD FS) jsou vyžadovány následující události:
- 1202 – Federační služba ověřila nové přihlašovací údaje.
- 1203 – Federační službě se nepodařilo ověřit nové přihlašovací údaje.
- 4624 – Účet byl úspěšně přihlášen
- 4625 – Účet se nepodařilo přihlásit
Další informace najdete v tématu Konfigurace auditování v Active Directory Federation Services (AD FS) (AD FS).
Požadované události služby AD CS (Active Directory Certificate Services)
Pro servery ad CS (Active Directory Certificate Services) jsou vyžadovány následující události:
- 4870: Certifikační služby odvolaly certifikát
- 4882: Změna oprávnění zabezpečení pro Certifikační služby
- 4885: Filtr auditu pro Certificate Services se změnil
- 4887: Certifikační služba schválila žádost o certifikát a vydala certifikát
- 4888: Certifikační služby zamítly žádost o certifikát
- 4890: Nastavení správce certifikátů pro Certificate Services se změnilo.
- 4896: Jeden nebo více řádků bylo odstraněno z databáze certifikátů
Další informace najdete v tématu Konfigurace auditování pro službu Ad CS (Active Directory Certificate Services).
Další požadované události Windows
Pro všechny senzory identity v programu Defender for Identity jsou vyžadovány následující obecné události Windows:
- 4662 – Operace byla provedena u objektu
- 4726 – Odstraněný uživatelský účet
- 4728 – Člen přidán do globální skupiny zabezpečení
- 4729 – Člen odebraný z globální skupiny zabezpečení
- 4730 – Globální odstraněná skupina zabezpečení
- 4732 – Člen přidán do místní skupiny zabezpečení
- 4733 – Člen odebraný z místní skupiny zabezpečení
- 4741 – Přidání účtu počítače
- 4743 – Odstraněný účet počítače
- 4753 – Globální distribuční skupina byla odstraněna
- 4756 – Člen přidán do univerzální skupiny zabezpečení
- 4757 – Člen odebraný z univerzální skupiny zabezpečení
- 4758 – Odstraněná univerzální skupina zabezpečení
- 4763 – Odstraněná univerzální distribuční skupina
- 4776 – Řadič domény se pokusil ověřit přihlašovací údaje pro účet (NTLM)
- 5136 – Objekt adresářové služby byl změněn.
- 7045 – Nainstalována nová služba
- 8004 – Ověřování NTLM
Další informace naleznete v tématu Konfigurace auditování NTLM a Konfigurace auditování objektů domény.
Shromažďování událostí pro samostatné senzory
Pokud pracujete se samostatným senzorem Identity Defenderu, nakonfigurujte shromažďování událostí ručně pomocí jedné z následujících metod:
- Naslouchejte událostem SIEM na samostatném senzoru Defenderu for Identity. Defender for Identity podporuje přenosy UDP ze serveru SIEM nebo syslogu.
- Konfigurace předávání událostí Windows do samostatného senzoru Defenderu for Identity
Upozornění
Při předávání dat syslogu do samostatného senzoru nezapomeňte nepřeposílat všechna data syslogu do senzoru.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.
Další informace najdete v dokumentaci k produktu serveru SIEM nebo syslog.