Configurer la collecte d’événements Windows

Microsoft Defender pour Identity détection s’appuie sur des entrées spécifiques du journal des événements Windows pour améliorer certaines détections et fournir des informations supplémentaires sur les personnes qui ont effectué des actions spécifiques telles que les ouvertures de session NTLM, les modifications de groupe de sécurité et les événements similaires. Pour auditer les bons événements et les inclure dans le journal des événements Windows, la stratégie d’audit avancée de vos contrôleurs de domaine doit être correctement configurée. Des paramètres incorrects de stratégie d’audit avancée peuvent entraîner l’impossibilité d’enregistrer les événements requis dans le journal des événements et entraîner une couverture Defender pour Identity incomplète.

Pour améliorer les fonctionnalités de détection des menaces, Defender pour Identity a besoin que les événements Windows suivants soient configurés et collectés par Defender pour Identity :

Événements Windows pertinents

Pour les événements Active Directory Federation Services (AD FS)

  • 1202 - Le service de fédération a validé de nouvelles informations d’identification
  • 1203 - Échec de la validation des nouvelles informations d’identification par le service de fédération
  • 4624 - Connexion réussie d’un compte
  • 4625 - Échec de connexion d’un compte

Pour les autres événements

  • 1644 - Recherche LDAP
  • 4662 – Une opération a été effectuée sur un objet
  • 4726 - Compte d’utilisateur supprimé
  • 4728 - Membre ajouté au groupe de sécurité global
  • 4729 - Membre supprimé du groupe de sécurité global
  • 4730 - Groupe de sécurité global supprimé
  • 4732 - Membre ajouté au groupe de sécurité local
  • 4733 - Membre supprimé du groupe de sécurité local
  • 4741 - Compte d’ordinateur ajouté
  • 4743 - Compte d’ordinateur supprimé
  • 4753 - Groupe de distribution global supprimé
  • 4756 - Membre ajouté au groupe de sécurité universel
  • 4757 - Membre supprimé du groupe de sécurité universel
  • 4758 - Groupe de sécurité universel supprimé
  • 4763 - Groupe de distribution universel supprimé
  • 4776 - Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte (NTLM)
  • 5136 - Un objet de service d’annuaire a été modifié
  • 7045 - Nouveau service installé
  • 8004 - Authentification NTLM

Configurer les stratégies d’audit

Suivez les instructions ci-après pour modifier les stratégies d’audit avancées de votre contrôleur de domaine :

  1. Connectez-vous au serveur en tant qu’Administrateur de domaine.

  2. Ouvrez l’Éditeur de gestion des stratégies de groupe. Pour cela, accédez à Gestionnaire de serveur>Outils>Gestion des stratégies de groupe.

  3. Développez unités d’organisation des contrôleurs de domaine, cliquez avec le bouton droit sur Stratégie de contrôleurs de domaine par défaut, puis sélectionnez Modifier.

    Notes

    Pour définir ces stratégies, vous pouvez utiliser la stratégie des contrôleurs de domaine par défaut ou un objet de stratégie de groupe dédié.

    Modifiez la stratégie de contrôleur de domaine.

  4. À partir de la fenêtre qui s’ouvre, accédez à Configuration ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité, puis, selon la stratégie que vous souhaitez activer, effectuez les étapes suivantes :

    Pour la configuration avancée de la stratégie d’audit

    1. Accédez à Configuration avancée de la stratégie d’audit>Stratégies d’audit. Configuration avancée de la stratégie d’audit.

    2. Sous Stratégies d’audit, modifiez chacune des stratégies suivantes, puis sélectionnez Configurer les événements d’audit suivants pour les événements des catégories Réussite et Échec.

      Stratégie d’audit Sous-catégorie Déclenche les ID d’événement
      Connexion de compte Auditer la validation des informations d’identification 4776
      Gestion de compte Auditer la gestion des comptes d’ordinateur 4741, 4743
      Gestion de compte Auditer la gestion des groupes de distribution 4753, 4763
      Gestion de compte Auditer la gestion des groupes de sécurité 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestion de compte Auditer la gestion des comptes d’utilisateurs 4726
      Accès DS Auditer l’accès au service d’annuaire 4662 - Pour cet événement, il est également nécessaire de configurer l’audit d’objets.
      Accès DS Auditer les modifications du service d’annuaire 5136
      Système Auditer l’extension du système de sécurité 7045

      Par exemple, pour configurer Auditer la gestion des groupes de sécurité, sous Gestion de compte, double-cliquez sur Auditer la gestion des groupes de sécurité, puis sélectionnez Configurer les événements d’audit suivants pour les événements des catégories Réussite et Échec.

      Auditer la gestion des groupes de sécurité.

  5. À une invite de commandes avec privilèges élevés, tapez gpupdate.

    Notes

    Cette étape doit être effectuée sur tous les contrôleurs de domaine du domaine, ou vous pouvez attendre le prochain cycle d’actualisation pour les mettre à jour (par défaut dans les 90 minutes)

  6. Après l’application via un objet de stratégie de groupe, les nouveaux événements sont visibles dans le observateur d'événements, sous Journaux Windows ->Sécurité.

Notes

Si vous choisissez d’utiliser une stratégie de sécurité locale au lieu d’utiliser une stratégie de groupe, veillez à ajouter les journaux d’audit Connexion de compte, Gestion de compte et Options de sécurité à votre stratégie locale. Si vous configurez la stratégie d’audit avancée, vous devez forcer la sous-catégorie de stratégie d’audit.

ID d’événement 8004

Pour auditer l’ID d’événement 8004, des étapes de configuration supplémentaires sont requises.

Notes

  • Les stratégies de groupe de domaine pour collecter l'événement Windows 8004 doivent être appliquées uniquement à des contrôleurs de domaine.
  • Lorsque l’événement Windows 8004 est analysé par Defender pour Identity Sensor, les activités d’authentification NTLM Defender pour Identity sont enrichies avec les données consultées par le serveur.
  1. En suivant les étapes initiales mentionnées ci-dessus, ouvrez stratégie de groupe Gestion et accédez à la stratégie contrôleurs de domaine par défaut.

  2. Accédez à Stratégies locales>Options de sécurité.

  3. Sous Options de sécurité, configurez les stratégies de sécurité spécifiées de la façon suivante :

    Paramètre de stratégie de sécurité Valeur
    Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants Auditer tout
    Sécurité réseau : restreindre NTLM : auditer l’authentification NTLM dans ce domaine Activer tout
    Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant Activer l’audit de tous les comptes

    Par exemple, pour configurer Trafic NTLM sortant vers des serveurs distants, sous Options de sécurité, double-cliquez sur Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants, puis sélectionnez Auditer tout.

    Auditez le trafic NTLM sortant vers des serveurs distants.

ID d’événement 1644

Microsoft Defender pour Identity pouvez surveiller des requêtes LDAP supplémentaires dans votre réseau. Ces activités LDAP sont envoyées via le protocole de service web Active Directory et ont le même comportement que les requêtes LDAP normales. Pour bénéficier d’une visibilité sur ces activités, vous devez activer l’événement 1644 sur vos contrôleurs de domaine. Cet événement couvre les activités LDAP dans votre domaine et est principalement utilisé pour identifier les recherches LDAP (Lightweight Directory Access Protocol) coûteuses, inefficaces ou lentes qui sont servies par les contrôleurs de domaine Active Directory.

Notes

La journalisation des événements 1644 peut avoir un impact sur les performances du serveur. Bien que la fonctionnalité de limitation des ressources puisse arrêter le service Defender pour Identity si le serveur manque de ressources, elle n’arrête pas l’audit des événements au niveau du système d’exploitation. Par conséquent, pour éviter les problèmes de performances, assurez-vous que vos serveurs disposent de suffisamment de ressources de mémoire, de processeur et de disque.

L’événement Windows 1644 n’est pas collecté par défaut sur les contrôleurs de domaine et doit être activé manuellement pour prendre en charge cette fonctionnalité. Pour ce faire, créez ces clés de Registre avec les valeurs suivantes :


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Configurer l’audit d’objets

Pour collecter des événements 4662, il est également nécessaire de configurer l’audit des objets sur les objets utilisateur, de groupe et d’ordinateur. Voici un exemple indiquant comment activer l’audit sur tous les utilisateurs, groupes et ordinateurs du domaine Active Directory. Il peut également être étendu par UO (unité d’organisation) :

Notes

Il est important d’évaluer et de vérifier vos stratégies d’audit avant d’activer la collecte d’événements, pour vérifier que les contrôleurs de domaine sont correctement configurés pour enregistrer les événements nécessaires.

S’il est correctement configuré, cet audit doit avoir un effet minimal sur les performances du serveur.

  1. Accédez à la console Utilisateurs et ordinateurs Active Directory.

  2. Sélectionnez le domaine ou l’unité d’organisation (UO) qui contient les utilisateurs, les groupes ou les ordinateurs que vous souhaitez auditer.

  3. Cliquez avec le bouton droit sur le conteneur (le domaine ou l’unité d’organisation) et sélectionnez Propriétés.

    Propriétés du conteneur.

  4. Accédez à l’onglet Sécurité, puis sélectionnez Avancée.

    Propriétés de sécurité avancées.

  5. Dans Paramètres de sécurité avancés, choisissez l’onglet Audit. Sélectionnez Ajouter.

    Sélectionnez l’onglet Audit.

  6. Cliquez sur Sélectionnez un principal.

    Sélectionnez un principal.

  7. Sous Entrer le nom de l’objet à sélectionner, tapez Tout le monde. Ensuite, sélectionnez Vérifier les noms, puis cliquez sur OK.

    Sélectionnez Tout le monde.

  8. Vous retournez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Succès.

    • Pour S’applique à, sélectionnez Objets utilisateur descendants.

    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Contrôle total. Toutes les autorisations sont sélectionnées. Décochez ensuite les autorisations Répertorier le contenu, Autorisations de lecture et Lire toutes les propriétés . Sélectionnez ensuite OK. Cette opération définit tous les paramètres Propriétés sur Écrire. Maintenant, quand elles sont déclenchées, toutes les modifications pertinentes apportées aux services d’annuaire apparaissent sous la forme d’événements 4662.

      Sélectionnez autorisations.

  9. Répétez ensuite les étapes ci-dessus, mais pour S’applique à, sélectionnez les types d’objets suivants :

    • Objets de groupe descendants
    • Objets ordinateur descendants
    • Objets msDS-GroupManagedServiceAccount descendants
    • Objets msDS-ManagedServiceAccount descendants

Audit pour des détections spécifiques

Certaines détections nécessitent l’audit d’objets Active Directory spécifiques. Pour ce faire, suivez les étapes décrites ci-dessus, mais notez les modifications ci-dessous concernant les objets à auditer et les autorisations à inclure.

Activer l’audit sur un objet ADFS

  1. Accédez à la console Utilisateurs et ordinateurs Active Directory, puis choisissez le domaine pour lequel vous souhaitez activer les journaux.

  2. Accédez à Données programme>Microsoft>ADFS.

    Conteneur ADFS.

  3. Cliquez avec le bouton droit sur ADFS, puis sélectionnez Propriétés.

  4. Accédez à l’onglet Sécurité, puis sélectionnez Avancée.

  5. Dans Paramètres de sécurité avancés, choisissez l’onglet Audit. Sélectionnez Ajouter.

  6. Cliquez sur Sélectionnez un principal.

  7. Sous Entrer le nom de l’objet à sélectionner, tapez Tout le monde. Ensuite, sélectionnez Vérifier les noms, puis cliquez sur OK.

  8. Vous retournez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tous.
    • Pour S’applique à, sélectionnez Cet objet et tous ceux descendants.
    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Lire toutes les propriétés et Écrire toutes les propriétés.

    Paramètres d’audit pour ADFS.

  9. Sélectionnez OK.

Activer l’audit sur un objet Exchange

  1. Ouvrez l'Modification ADSI. Pour ce faire, sélectionnez Démarrer, sélectionnez Exécuter, tapez ADSIEdit.msc, puis sélectionnez OK.

  2. Dans le menu Action, sélectionnez Se connecter à.

  3. Dans la boîte de dialogue Paramètres de connexion sous Sélectionnez un contexte d’attribution de noms connu, sélectionnez Configuration, puis sélectionnez OK.

  4. Développez le conteneur Configuration. Sous le conteneur Configuration, vous verrez le nœud Configuration. Celui-ci commence par « CN=Configuration,DC=... »

  5. Cliquez avec le bouton droit sur le nœud Configuration et sélectionnez Propriétés.

    Propriétés du nœud Configuration.

  6. Accédez à l’onglet Sécurité, puis sélectionnez Avancée.

  7. Dans Paramètres de sécurité avancés, choisissez l’onglet Audit. Sélectionnez Ajouter.

  8. Cliquez sur Sélectionnez un principal.

  9. Sous Entrer le nom de l’objet à sélectionner, tapez Tout le monde. Ensuite, sélectionnez Vérifier les noms, puis cliquez sur OK.

  10. Vous retournez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tous.
    • Pour S’applique à, sélectionnez Cet objet et tous ceux descendants.
    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Écrire toutes les propriétés.

    Paramètres d’audit pour Configuration.

  11. Sélectionnez OK.

Configurer la collecte d’événements

Ces événements peuvent être collectés automatiquement par le capteur Defender pour Identity ou, si le capteur Defender pour Identity n’est pas déployé, ils peuvent être transférés au capteur autonome Defender pour Identity de l’une des manières suivantes :

Notes

  • Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Étapes suivantes