Teilen über


Ereignissammlung mit Microsoft Defender for Identity

Ein Microsoft Defender for Identity-Sensor ist so konfiguriert, dass Syslog-Ereignisse automatisch erfasst werden. Bei Windows-Ereignissen basiert die Defender for Identity-Erkennung auf bestimmten Ereignisprotokollen. Der Sensor analysiert diese Ereignisprotokolle von Ihren Domänencontrollern.

Ereignissammlung für AD FS-Server, AD CS-Server, Microsoft Entra Connect-Server und Domänencontroller

Damit die richtigen Ereignisse überwacht und im Windows-Ereignisprotokoll enthalten sind, benötigen Ihre Active Directory-Verbunddienste (AD FS)(AD FS)-Server, Active Directory-Zertifikatdienste (AD CS)-Server, Microsoft Entra Connect-Server oder Domänencontroller genaue „Erweiterte Überwachungsrichtlinieneinstellungen“.

Weitere Informationen finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.

Verweis auf erforderliche Ereignisse

In diesem Abschnitt werden die Windows-Ereignisse aufgelistet, die der Defender for Identity-Sensor benötigt, wenn er auf AD FS-Servern, AD CS-Servern, Microsoft Entra Connect-Servern oder Domänencontrollern installiert wird.

Erforderliche AD FS-Ereignisse

Die folgenden Ereignisse sind für AD FS-Server erforderlich:

  • 1202: Der Föderationsdienst hat neue Anmeldeinformationen validiert
  • 1203: Der Föderationsdienst konnte die neuen Anmeldeinformationen nicht validieren
  • 4624: Ein Konto wurde erfolgreich angemeldet
  • 4625: Ein Konto konnte sich nicht anmelden

Weitere Informationen finden Sie im Konfigurieren der Überwachung für Active Directory-Föderationsdienste.

Erforderliche AD CS-Ereignisse

Die folgenden Ereignisse sind für AD CS-Server erforderlich:

  • 4870: Die Zertifikatdienste haben ein Zertifikat gesperrt.
  • 4882: Die Sicherheitsberechtigungen für die Zertifikatdienste wurden geändert.
  • 4885: Der Überwachungsfilter für die Zertifikatdienste wurde geändert.
  • 4887: Die Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
  • 4888: Die Zertifikatdienste haben eine Zertifikatanforderung abgelehnt.
  • 4890: Die Zertifikatverwaltungseinstellungen für die Zertifikatdienste wurden geändert.
  • 4896: Eine oder mehrere Zeilen wurden aus der Zertifikatdatenbank gelöscht.

Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienstereignisse.

Erforderliche Microsoft Entra Connect-Ereignisse

Das folgende Ereignis ist für Microsoft Entra Connect-Server erforderlich:

  • 4624: Ein Konto wurde erfolgreich angemeldet

Weitere Informationen finden Sie unter Konfigurieren der Überwachung auf Microsoft Entra Connect.

Andere erforderliche Windows-Ereignisse

Die folgenden allgemeinen Windows-Ereignisse sind für alle Defender for Identity-Sensoren erforderlich:

  • 4662: Für ein Objekt wurde ein Vorgang ausgeführt
  • 4726: Benutzerkonto wurde gelöscht
  • 4728: Mitglied wurde der globalen Sicherheitsgruppe hinzugefügt
  • 4729: Mitglied aus der globalen Sicherheitsgruppe entfernt
  • 4730: Globale Sicherheitsgruppe gelöscht
  • 4732: Mitglied wurde der lokalen Sicherheitsgruppe hinzugefügt
  • 4733: Mitglied aus lokaler Sicherheitsgruppe entfernt
  • 4741: Computerkonto hinzugefügt
  • 4743: Computerkonto gelöscht
  • 4753: Globale Verteilergruppe gelöscht
  • 4756: Mitglied wurde der universellen Sicherheitsgruppe hinzugefügt
  • 4757: Mitglied aus der universellen Sicherheitsgruppe entfernt
  • 4758: Universelle Sicherheitsgruppe gelöscht
  • 4763: Universelle Verteilergruppe gelöscht
  • 4776: Domänencontroller hat versucht, Anmeldeinformationen für ein Konto zu überprüfen (NTLM)
  • 5136: Ein Verzeichnisdienstobjekt wurde geändert
  • 7045: Neuer Dienst installiert
  • 8004: NTLM-Authentifizierung

Weitere Informationen finden Sie unter Konfigurieren der NTLM-Überwachung und Konfigurieren von Do Standard Objektüberwachung.

Ereignissammlung für eigenständige Sensoren

Wenn Sie mit einem eigenständigen Microsoft Defender for Identity-Sensor arbeiten, konfigurieren Sie die Ereignissammlung manuell, indem Sie eine der folgenden Methoden verwenden:

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.

Weitere Informationen finden Sie in der Produktdokumentation für Ihr SIEM-System oder Ihren Syslog-Server.

Nächster Schritt