Collection d’événements avec Microsoft Defender pour Identity
Le capteur Microsoft Defender pour Identity est configuré pour collecter automatiquement les événements syslog. Pour les événements Windows, la détection Defender pour Identity s’appuie sur des journaux d’événements spécifiques, que le capteur analyse à partir de vos contrôleurs de domaine.
Collection d’événements pour les contrôleurs de domaine et les serveurs AD FS / AD CS
Pour que les événements appropriés soient audités et inclus dans le journal des événements Windows, vos contrôleurs de domaine ou vos serveurs AD FS /AD CS nécessitent des paramètres de stratégie d’audit précis et avancés.
Pour plus d’informations, consultez Configurer des stratégies d’audit pour les journaux des événements Windows.
Référence des événements requis
Cette section répertorie les événements Windows requis par le capteur Defender pour Identity, lorsqu’ils sont installés sur des serveurs AD FS /AD CS ou sur des contrôleurs de domaine.
Événements de services de fédération Active Directory (AD FS) obligatoires (AD FS)
Les événements suivants sont requis pour les serveurs services de fédération Active Directory (AD FS) (AD FS) :
- 1202 - Le service de fédération a validé une nouvelle information d’identification
- 1203 - Le service de fédération n’a pas pu valider de nouvelles informations d’identification
- 4624 - Un compte a été correctement connecté
- 4625 - Un compte n’a pas pu se connecter
Pour plus d’informations, consultez Configurer l’audit sur un services de fédération Active Directory (AD FS) (AD FS).
Événements Ad CS (Active Directory Certificate Services) requis
Les événements suivants sont requis pour les serveurs Ad CS (Active Directory Certificate Services) :
- 4870 : Les services de certificats ont révoqué un certificat
- 4882 : Autorisations de sécurité pour les services de certificats modifiés
- 4885 : Le filtre d’audit pour les services de certificats a changé
- 4887 : Les services de certificats ont approuvé une demande de certificat et émis un certificat
- 4888 : Services de certificats refusé une demande de certificat
- 4890 : Les paramètres du gestionnaire de certificats pour les services de certificats ont été modifiés.
- 4896 : Une ou plusieurs lignes ont été supprimées de la base de données de certificats
Pour plus d’informations, consultez Audit de la configuration pour les services de certificats Active Directory (AD CS).
Autres événements Windows requis
Les événements Windows généraux suivants sont requis pour tous les capteurs Defender pour Identity :
- 4662 - Une opération a été effectuée sur un objet
- 4726 - Compte d’utilisateur supprimé
- 4728 - Membre ajouté au groupe de sécurité global
- 4729 - Membre supprimé du groupe de sécurité global
- 4730 - Groupe de sécurité global supprimé
- 4732 - Membre ajouté au groupe de sécurité local
- 4733 - Membre supprimé du groupe de sécurité local
- 4741 - Compte d’ordinateur ajouté
- 4743 - Compte d’ordinateur supprimé
- 4753 - Groupe de distribution global supprimé
- 4756 - Membre ajouté au groupe de sécurité universel
- 4757 - Membre supprimé du groupe de sécurité universel
- 4758 - Groupe de sécurité universel supprimé
- 4763 - Groupe de distribution universel supprimé
- 4776 - Contrôleur de domaine tenté de valider les informations d’identification d’un compte (NTLM)
- 5136 - Un objet de service d’annuaire a été modifié
- 7045 - Nouveau service installé
- 8004 - Authentification NTLM
Pour plus d’informations, consultez Configurer l’audit NTLM et Configurer l’audit d’objet de domaine.
Collection d’événements pour les capteurs autonomes
Si vous utilisez un capteur Defender pour Identity autonome, configurez manuellement la collecte d’événements à l’aide de l’une des méthodes suivantes :
- Écoutez les événements SIEM sur votre capteur autonome Defender pour Identity. Defender pour Identity prend en charge le trafic UDP à partir de votre serveur SIEM ou syslog.
- Configurer le transfert d’événements Windows vers votre capteur autonome Defender pour Identity
Attention
Lors du transfert de données syslog vers un capteur autonome, veillez à ne pas transférer toutes les données syslog à votre capteur.
Important
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Pour plus d’informations, consultez la documentation du produit de votre serveur SIEM ou syslog.