Recopilación de eventos de Microsoft Defender for Identity

Un sensor de Microsoft Defender for Identity está configurado para recopilar automáticamente eventos de syslog. En el caso de los eventos de Windows, la detección de Defender for Identity se basa en registros de eventos específicos. El sensor analiza estos registros de eventos de los controladores de dominio.

Recopilación de eventos para servidores de AD FS, servidores de AD CS, servidores de Microsoft Entra Connect y controladores de dominio

Para que los eventos correctos se auditen e incluyan en el registro de eventos de Windows, los servidores de Servicios de federación de Active Directory (AD FS), los servidores de Servicios de certificados de Active Directory (AD CS), los servidores de Microsoft Entra Connect o los controladores de dominio requieren una configuración precisa de la directiva de auditoría avanzada.

Para obtener más información, consulte Configurar directivas de auditoría para los registros de eventos de Windows.

Referencia de eventos necesarios

En esta sección se enumeran los eventos de Windows que requiere el sensor de Defender for Identity cuando se instala en servidores de AD FS, servidores de AD CS, servidores de Microsoft Entra Connect o controladores de dominio.

Eventos de AD FS necesarios

Los siguientes eventos son necesarios para los servidores de AD FS:

• 1202: el servicio de federación validó una nueva credencial
• 1203: el servicio de federación no pudo validar una nueva credencial
• 4624: se ha iniciado sesión correctamente en una cuenta
• 4625: no se pudo iniciar sesión en una cuenta

Para obtener más información, consulte Configuración de la auditoría en Servicios de federación de Active Directory.

Eventos de AD CS necesarios

Los siguientes eventos son necesarios para los servidores de AD CS:

• 4870: Servicios de servidor de certificados revocó un certificado
• 4882: se cambiaron los permisos de seguridad para Servicios de servidor de certificados
• 4885: se cambió el filtro de auditoría para Servicios de servidor de certificados
• 4887: Servicios de servidor de certificados aprobó una solicitud de certificado y emitió un certificado
• 4888: Servicios de servidor de certificados denegó una solicitud de certificado
• 4890: se cambió la configuración del administrador de certificados para Servicios de servidor de certificados
• 4896: una o más filas se han eliminado de la base de datos de certificados.

Para obtener más información, consulte Configuración de la auditoría para Servicios de certificados de Active Directory.

Eventos de Microsoft Entra Connect necesarios

El evento siguiente es necesario para los servidores de Microsoft Entra Connect:

• 4624: se ha iniciado sesión correctamente en una cuenta

Para obtener más información, consulte Configuración de la auditoría en Microsoft Entra Connect.

Otros eventos de Windows necesarios

Se requieren los siguientes eventos generales de Windows para todos los sensores de Defender for Identity:

• 4662: se realizó una operación en un objeto
• 4726: cuenta de usuario eliminada
• 4728: miembro agregado al Grupo de seguridad Global
• 4729: se quitó un miembro del Grupo de seguridad Global
• 4730: grupo de seguridad Global eliminado
• 4732: miembro agregado al Grupo de seguridad Global
• 4733: miembro eliminado del Grupo de seguridad Local
• 4741: cuenta de equipo agregada
• 4743: cuenta de equipo eliminada
• 4753: grupo de distribución Global eliminado
• 4756: miembro agregado al grupo de seguridad Universal
• 4757: miembro eliminado del grupo de seguridad Universal
• 4758: grupo de seguridad Universal eliminado
• 4763: grupo de distribución Universal eliminado
• 4776: el controlador de dominio intentó validar las credenciales de una cuenta (NTLM)
• 5136: se modificó un objeto de servicio de directorio
• 7045: nuevo servicio instalado
• 8004: autenticación de NTLM

Para obtener más información, consulte Configuración de la auditoría NTLM y Configuración de la auditoría de objetos de dominio.

Recopilación de eventos para sensores independientes

Si está trabajando con un sensor de Defender for Identity independiente, configure la recopilación de eventos manualmente mediante uno de los métodos siguientes:

• Escuche los eventos de administración de eventos e información de seguridad (SIEM) en el sensor independiente de Defender for Identity. Defender for Identity admite el tráfico del Protocolo de datagramas de usuario (UDP) desde el sistema SIEM o el servidor syslog.
• Configure el reenvío de eventos de Windows al sensor independiente de Defender for Identity. Cuando reenvíe datos de syslog a un sensor independiente, asegúrese de no reenviar todos los datos de syslog a su sensor.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

Para obtener más información, consulte la documentación del producto para su sistema SIEM o su servidor syslog.

Paso siguiente

Configuración de directivas de auditoría para los registros de eventos de Windows