Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Microsoft Defender for Identity Sensor ist für die automatische Erfassung von Syslog-Ereignissen konfiguriert. Bei Windows-Ereignissen basiert die Defender for Identity-Erkennung auf bestimmten Ereignisprotokollen. Der Sensor analysiert diese Ereignisprotokolle von Ihren Domänencontrollern.
Ereignissammlung für AD FS-Server, AD CS-Server, Microsoft Entra Connect-Server und Domänencontroller
Damit die richtigen Ereignisse überwacht und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Active Directory-Verbunddienste (AD FS)-Server (AD FS), AD CS-Server (Active Directory Certificate Services), Microsoft Entra Connect-Server oder Domänencontroller genaue Erweiterte Überwachungsrichtlinieneinstellungen.
Weitere Informationen finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.
Verweis auf erforderliche Ereignisse
In diesem Abschnitt werden die Windows-Ereignisse aufgeführt, die der Defender for Identity-Sensor benötigt, wenn er auf AD FS-Servern, AD CS-Servern, Microsoft Entra Connect-Servern oder Domänencontrollern installiert wird.
Erforderliche AD FS-Ereignisse
Die folgenden Ereignisse sind für AD FS-Server erforderlich:
- 1202: Der Verbunddienst hat neue Anmeldeinformationen überprüft.
- 1203: Fehler beim Überprüfen neuer Anmeldeinformationen durch den Verbunddienst
- 4624: Ein Konto wurde erfolgreich angemeldet
- 4625: Konto konnte sich nicht anmelden
Weitere Informationen finden Sie unter Konfigurieren der Überwachung auf Active Directory-Verbunddienste (AD FS).
Erforderliche AD CS-Ereignisse
Die folgenden Ereignisse sind für AD CS-Server erforderlich:
- 4870: Zertifikatdienste haben ein Zertifikat widerrufen
- 4882: Die Sicherheitsberechtigungen für Zertifikatdienste wurden geändert.
- 4885: Der Überwachungsfilter für Zertifikatdienste wurde geändert.
- 4887: Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
- 4888: Zertifikatdienste haben eine Zertifikatanforderung verweigert
- 4890: Die Zertifikat-Manager-Einstellungen für Zertifikatdienste wurden geändert.
- 4896: Mindestens eine Zeile wurde aus der Zertifikatdatenbank gelöscht.
Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienste.
Erforderliche Microsoft Entra Connect-Ereignisse
Das folgende Ereignis ist für Microsoft Entra Connect-Server erforderlich:
- 4624: Ein Konto wurde erfolgreich angemeldet
Weitere Informationen finden Sie unter Konfigurieren der Überwachung auf Microsoft Entra Connect.
Andere erforderliche Windows-Ereignisse
Die folgenden allgemeinen Windows-Ereignisse sind für alle Defender for Identity-Sensoren erforderlich:
- 4662: Ein Vorgang wurde für ein Objekt ausgeführt
- 4726: Benutzerkonto gelöscht
- 4728: Mitglied zur globalen Sicherheitsgruppe hinzugefügt
- 4729: Mitglied aus der globalen Sicherheitsgruppe entfernt
- 4730: Globale Sicherheitsgruppe gelöscht
- 4732: Mitglied zur lokalen Sicherheitsgruppe hinzugefügt
- 4733: Mitglied aus lokaler Sicherheitsgruppe entfernt
- 4741: Computerkonto hinzugefügt
- 4743: Computerkonto gelöscht
- 4753: Globale Verteilergruppe gelöscht
- 4756: Mitglied zur universellen Sicherheitsgruppe hinzugefügt
- 4757: Mitglied aus universeller Sicherheitsgruppe entfernt
- 4758: Universelle Sicherheitsgruppe gelöscht
- 4763: Universelle Verteilergruppe gelöscht
- 4776: Domänencontroller hat versucht, Anmeldeinformationen für ein Konto zu überprüfen (NTLM)
- 5136: Ein Verzeichnisdienstobjekt wurde geändert
- 7045: Neuer Dienst installiert
- 8004: NTLM-Authentifizierung
Weitere Informationen finden Sie unter Konfigurieren der NTLM-Überwachung und Konfigurieren der Domänenobjektüberwachung.
Ereignissammlung für eigenständige Sensoren
Wenn Sie mit einem eigenständigen Defender for Identity-Sensor arbeiten, konfigurieren Sie die Ereignissammlung manuell mit einer der folgenden Methoden:
- Lauschen auf SIEM-Ereignisse (Security Information and Event Management) auf Ihrem eigenständigen Defender for Identity-Sensor. Defender for Identity unterstützt UDP-Datenverkehr (User Datagram Protocol) von Ihrem SIEM-System oder Ihrem Syslog-Server.
- Konfigurieren Sie die Windows-Ereignisweiterleitung an Ihren eigenständigen Defender for Identity-Sensor. Wenn Sie Syslog-Daten an einen eigenständigen Sensor weiterleiten, stellen Sie sicher, dass Sie nicht alle Syslog-Daten an Ihren Sensor weiterleiten.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Sammlung von ETW-Protokolleinträgen (Event Tracing for Windows), die die Daten für mehrere Erkennungen bereitstellen. Für eine vollständige Abdeckung Ihrer Umgebung empfehlen wir die Bereitstellung des Defender for Identity-Sensors.
Weitere Informationen finden Sie in der Produktdokumentation für Ihr SIEM-System oder Ihren Syslog-Server.