Collection des événements avec Microsoft Defender pour Identity
Un capteur Microsoft Defender pour Identity est configuré pour collecter automatiquement les événements syslog. Pour les événements Windows, la détection de Defender pour Identity repose sur des journaux d’événements spécifiques. Le capteur analyse ces journaux d’événements à partir de vos contrôleurs de domaine.
Collecte d’événements pour les serveurs AD FS, les serveurs AD CS, les serveurs Microsoft Entra Connect et les contrôleurs de domaine
Pour que les événements corrects soient audités et inclus dans le journal des événements Windows, vos serveurs Active Directory Federation Services (AD FS), serveurs Active Directory Certificate Services (AD CS), serveurs Microsoft Entra Connect ou contrôleurs de domaine nécessitent des paramètres précis de stratégie d’audit avancée.
Pour plus d’informations, consultez Configurer des stratégies d’audit pour les journaux des événements Windows.
Référence des événements requis
Cette section répertorie les événements Windows que le capteur Defender pour Identity requiert lorsqu’il est installé sur des serveurs AD FS, des serveurs AD CS, des serveurs Microsoft Entra Connect ou des contrôleurs de domaine.
Événements AD FS requis
Les événements suivants sont requis pour les serveurs AD FS :
- 1202 : Le service de fédération a validé une nouvelle référence d’identification
- 1203 : Le service de fédération n’a pas réussi à valider une nouvelle référence d’identification
- 4624 : connexion réussie d’un compte
- 4625 : échec de connexion d’un compte
Pour plus d’informations, veuillez consulter la section Configurer l’audit sur Active Directory Federation Services.
Événements AD CS requis
Les événements suivants sont requis pour les serveurs AD CS :
- 4870 : les services de certificats ont révoqué un certificat
- 4882 : les autorisations de sécurité des services de certificats ont changé
- 4885 : le filtre d’audit des services de certificats a changé
- 4887 : les services de certificats ont approuvé une demande de certificat et émis un certificat
- 4888 : les services de certificats ont refusé une demande de certificat
- 4890 : Les paramètres du gestionnaire de certificats pour Certificate Services ont été modifiés
- 4896 : une ou plusieurs lignes ont été supprimées de la base de données de certificats
Pour plus d’informations, veuillez consulter la section Configurer l’audit pour Active Directory Certificate Services.
Événements Microsoft Entra Connect requis
L’événement suivant est requis pour les serveurs Microsoft Entra Connect :
- 4624 : connexion réussie d’un compte
Pour plus d’informations, veuillez consulter la section Configurer l’audit sur Microsoft Entra Connect.
Autres événements Windows requis
Les événements Windows généraux suivants sont requis pour tous les capteurs Defender pour Identity :
- 4662 : Une opération a été effectuée sur un objet
- 4726 : Compte utilisateur supprimé
- 4728 : Membre ajouté au groupe de sécurité global
- 4729 : Membre retiré du groupe de sécurité global
- 4730 : Groupe de sécurité global supprimé
- 4732 : Membre ajouté au groupe de sécurité local
- 4733 : Membre retiré du groupe de sécurité local
- 4741 : Compte d’ordinateur ajouté
- 4743 : Compte d’ordinateur supprimé
- 4753 : Groupe de distribution global supprimé
- 4756 : Membre ajouté au groupe de sécurité universel
- 4757 : Membre retiré du groupe de sécurité universel
- 4758 : Groupe de sécurité universel supprimé
- 4763 : Groupe de distribution universel supprimé
- 4776 : Le contrôleur de domaine a tenté de valider les informations d’identification pour un compte (NTLM)
- 5136 : Un objet du service d’annuaire a été modifié
- 7045 : Nouveau service installé
- 8004 : Authentification NTLM
Pour plus d’informations, consultez Configurer l’audit NTLM et Configurer l’audit d’objet de domaine.
Collection d’événements pour les capteurs autonomes
Si vous travaillez avec un capteur autonome Defender pour Identity, configurez manuellement la collecte d’événements en utilisant l’une des méthodes suivantes :
- Écoutez les événements de gestion des informations de sécurité et des événements (SIEM) sur votre capteur autonome Defender pour Identity. Defender pour Identity prend en charge le trafic User Datagram Protocol (UDP) de votre système SIEM ou de votre serveur syslog.
- Configurer le transfert des événements Windows vers votre capteur autonome Defender pour Identity. Lorsque vous transférez des données syslog vers un capteur autonome, veillez à ne pas transférer toutes les données syslog vers votre capteur.
Important
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte des entrées de journal Event Tracing for Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Pour plus d’informations, consultez la documentation produit de votre système SIEM ou de votre serveur syslog.