Recopilación de eventos de Microsoft Defender for Identity
El sensor de Microsoft Defender for Identity está configurado para recopilar automáticamente eventos de syslog. Para eventos de Windows, la detección de Defender for Identity se basa en registros de eventos específicos que el sensor analiza desde los controladores de dominio.
Recopilación de eventos para controladores de dominio y servidores de AD FS /AD CS
Para que se auditen los eventos correctos y se incluyan en el registro de eventos de Windows, los controladores de dominio o servidores AD FS / AD CS requieren una configuración precisa de la directiva de auditoría avanzada.
Para obtener más información, consulte Configurar directivas de auditoría para los registros de eventos de Windows.
Referencia de eventos necesarios
En esta sección se enumeran los eventos de Windows necesarios para el sensor de Defender for Identity, cuando se instala en servidores de AD FS / AD CS o en controladores de dominio.
Eventos necesarios para Servicios de federación de Active Directory (AD FS)
Los siguientes eventos son los requeridos para implementar los servidores Servicios de federación de Active Directory (AD FS):
- 1202: el servicio de federación validó una nueva credencial
- 1203: el servicio de federación no pudo validar una nueva credencial
- 4624: se ha iniciado sesión correctamente en una cuenta
- 4625: no se pudo iniciar sesión en una cuenta
Para más información, consulte Configurar la auditoría para los Servicios de federación de Active Directory (AD FS).
Eventos necesarios de Servicios de certificados de Active Directory (AD CS)
Los siguientes eventos son necesarios para los servidores de Servicios de certificados de Active Directory (AD CS):
- 4870: Servicios de servidor de certificados revocó un certificado
- 4882: se cambiaron los permisos de seguridad para Servicios de servidor de certificados
- 4885: se cambió el filtro de auditoría para Servicios de servidor de certificados
- 4887: Servicios de servidor de certificados aprobó una solicitud de certificado y emitió un certificado
- 4888: Servicios de servidor de certificados denegó una solicitud de certificado
- 4890: se cambió la configuración del administrador de certificados para Servicios de servidor de certificados.
- 4896: una o más filas se han eliminado de la base de datos de certificados.
Para más información, consulte Configurar la auditoría para los Servicios de certificados de Active Directory (AD CS).
Otros eventos de Windows necesarios
Se requieren los siguientes eventos generales de Windows para todos los sensores de Defender for Identity:
- 4662: se realizó una operación en un objeto
- 4726: cuenta de usuario eliminada
- 4728: miembro agregado al Grupo de seguridad Global
- 4729: se quitó un miembro del Grupo de seguridad Global
- 4730: Grupo de seguridad Global eliminado
- 4732: miembro agregado al Grupo de seguridad Global
- 4733: miembro eliminado del Grupo de seguridad Local
- 4741: cuenta de equipo agregada
- 4743: cuenta de equipo eliminada
- 4753: Grupo de distribución Global eliminado
- 4756: miembro agregado al Grupo de seguridad Universal
- 4757: miembro eliminado del Grupo de seguridad Universal
- 4758: Grupo de seguridad Universal eliminado
- 4763: Grupo de distribución Universal eliminado
- 4776: el controlador de dominio intentó validar las credenciales de una cuenta (NTLM)
- 5136: se modificó un objeto de servicio de directorio
- 7045: nuevo servicio instalado
- 8004: autenticación NTLM
Para obtener más información, consulte Configuración de la auditoría NTLM y Configuración de la auditoría de objetos de dominio.
Recopilación de eventos para sensores independientes
Si trabaja con un sensor independiente de Defender for Identity, configure la recopilación de eventos manualmente mediante uno de los métodos siguientes:
- Escucha de eventos SIEM en el sensor independiente de Defender for Identity. Defender for Identity admite el tráfico UDP desde el servidor SIEM o syslog.
- Configuración del reenvío de eventos de Windows al sensor independiente de Defender for Identity
Precaución
Al reenviar datos de syslog a un sensor independiente, asegúrese de no reenviar todos los datos de syslog al sensor.
Importante
Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.
Para obtener más información, consulte la documentación del servidor SIEM o syslog.