Ereignissammlung mit Microsoft Defender for Identity
Der Microsoft Defender for Identity-Sensor ist so konfiguriert, dass syslog-Ereignisse automatisch erfasst werden. Die Defender for Identity-Erkennung basiert auf den bestimmten Windows-Ereignisprotokollen, die der Sensor von Ihren Domänencontrollern aus analysiert.
Ereignissammlung für do Standard Controller und AD FS/AD CS-Server
Damit die richtigen Ereignisse geprüft und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Domänencontroller genaue Einstellungen für die erweiterte Prüfungsrichtlinie.
Weitere Informationen finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.
Verweis auf erforderliche Ereignisse
In diesem Abschnitt werden die Windows-Ereignisse aufgeführt, die vom Defender for Identity-Sensor benötigt werden, wenn sie auf AD FS/AD CS-Servern installiert sind, oder auf do Standard-Controllern.
Erforderliche Updates für Active Directory-Verbunddienste (AD FS)
Für die Bereitstellung von Active Directory-Verbunddienste (AD FS) ist Folgendes erforderlich:
- 1202 – Der Föderationsdienst hat einen neuen Berechtigungsnachweis validiert
- 1203 – Der Federation Service konnte einen neuen Berechtigungsnachweis nicht validieren
- 4624 – Ein Konto wurde erfolgreich angemeldet
- 4625 – Ein Konto konnte sich nicht anmelden
Weitere Informationen finden Sie unter Konfigurieren von Audits für Active Directory Federation Services (AD FS).
Active Directory-Zertifikatdienste (AD CS)
Die folgenden Ereignisse sind für Active Directory-Zertifikatdienste (AD CS)-Server erforderlich:
- 4870: Die Zertifikatdienste haben ein Zertifikat gesperrt.
- 4882: Die Sicherheitsberechtigungen für die Zertifikatdienste wurden geändert.
- 4885: Der Überwachungsfilter für die Zertifikatdienste wurde geändert.
- 4887: Die Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
- 4888: Die Zertifikatdienste haben eine Zertifikatanforderung abgelehnt.
- 4890: Die Zertifikatverwaltungseinstellungen für die Zertifikatdienste wurden geändert.
- 4896: Eine oder mehrere Zeilen wurden aus der Zertifikatdatenbank gelöscht.
Weitere Informationen finden Sie unter Konfigurationsaudit von Active Directory-Zertifikatdienste (AD CS).
Andere erforderliche Windows-Ereignisse
Die folgenden allgemeinen Windows-Ereignisse sind für alle Defender for Identity-Sensoren erforderlich:
- 4662 – Für ein Objekt wurde ein Vorgang ausgeführt
- 4726 – Benutzerkonto löschen
- 4728 – Mitglied der Global Security Group hinzugefügt
- 4729 – Mitglied aus der globalen Sicherheitsgruppe entfernt
- 4730 – Globale Sicherheitsgruppe gelöscht
- 4732 – Mitglied zur lokalen Sicherheitsgruppe hinzugefügt
- 4733 – Mitglied aus lokaler Sicherheitsgruppe entfernt
- 4741 – Computerkonto hinzugefügt
- 4743 – Löscht ein Computerkonto.
- 4753 – Globale Verteilergruppe gelöscht
- 4756 – Mitglied der Universal Security Group hinzugefügt
- 4757 – Mitglied aus der Universal Security Group entfernt
- 4758 – Universelle Sicherheitsgruppe gelöscht
- 4763 – Universelle Verteilergruppe
- 4776 – Domänencontroller hat versucht, Anmeldeinformationen für ein Konto zu überprüfen (NTLM)
- 5136 – Ein Verzeichnisdienstobjekt wurde geändert
- 7045 – Neuer Dienst installiert
- 8004 – NTLM-Authentifizierung
Weitere Informationen finden Sie unter Konfigurieren der NTLM-Überwachung und Konfigurieren von Do Standard Objektüberwachung.
Ereignissammlung für eigenständige Sensoren
Wenn Sie mit einem eigenständigen Defender for Identity-Sensor arbeiten, konfigurieren Sie die Ereignissammlung manuell mithilfe einer der folgenden Methoden:
- Lauschen Sie auf SIEM-Ereignisse auf Ihrem eigenständigen Defender for Identity-Sensor. Defender for Identity unterstützt UDP-Datenverkehr von Ihrem SIEM- oder Syslog-Server.
- Konfigurieren der Windows-Ereignisweiterleitung an ihren eigenständigen Defender for Identity-Sensor
Achtung
Stellen Sie beim Weiterleiten von Syslog-Daten an einen eigenständigen Sensor sicher, dass sie nicht alle Syslog-Daten an Ihren Sensor weiterleiten.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.
Weitere Informationen finden Sie in der Dokumentation Ihres Servers.