Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Microsoft Defender for Identity érzékelő úgy van konfigurálva, hogy automatikusan gyűjtse a syslog-eseményeket. Windows-események esetén a Defender for Identity észlelése adott eseménynaplókra támaszkodik. Az érzékelő elemzi ezeket az eseménynaplókat a tartományvezérlőkről.
Eseménygyűjtés AD FS-kiszolgálókhoz, AD CS-kiszolgálókhoz, Microsoft Entra Connect-kiszolgálókhoz és tartományvezérlőkhöz
Ahhoz, hogy a windowsos eseménynaplóban szerepeljenek a megfelelő események, a Active Directory összevonási szolgáltatások (AD FS)- (AD FS-) kiszolgálók, az Active Directory tanúsítványszolgáltatások (AD CS) kiszolgálói, a Microsoft Entra Connect-kiszolgálók vagy a tartományvezérlők pontos speciális naplózási házirend-beállításokat igényelnek.
További információ: Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz.
A szükséges események referenciája
Ez a szakasz azokat a Windows-eseményeket sorolja fel, amelyekre a Defender for Identity érzékelőnek szüksége van, amikor az AD FS-kiszolgálókra, AD CS-kiszolgálókra, Microsoft Entra Connect-kiszolgálókra vagy tartományvezérlőkre van telepítve.
Szükséges AD FS-események
Az AD FS-kiszolgálókhoz a következő események szükségesek:
- 1202: Az összevonási szolgáltatás új hitelesítő adatot ellenőrzött
- 1203: Az összevonási szolgáltatás nem tudta ellenőrizni az új hitelesítő adatokat
- 4624: A fiók sikeresen be lett jelentkezve
- 4625: Egy fiók nem tudott bejelentkezni
További információ: A naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS).
Szükséges AD CS-események
Az AD CS-kiszolgálókhoz a következő események szükségesek:
- 4870: A tanúsítványszolgáltatás visszavont egy tanúsítványt
- 4882: A tanúsítványszolgáltatások biztonsági engedélyei megváltoztak
- 4885: A tanúsítványszolgáltatások naplózási szűrője megváltozott
- 4887: A tanúsítványszolgáltatás jóváhagyott egy tanúsítványkérelmet, és kiadott egy tanúsítványt
- 4888: A tanúsítványszolgáltatás megtagadta a tanúsítványkérelmet
- 4890: A Tanúsítványszolgáltatások tanúsítványkezelői beállításai megváltoztak
- 4896: Egy vagy több sor törölve lett a tanúsítvány-adatbázisból
További információ: Az Active Directory tanúsítványszolgáltatások naplózásának konfigurálása.
Kötelező Microsoft Entra Connect-események
A Microsoft Entra Connect-kiszolgálókhoz a következő esemény szükséges:
- 4624: A fiók sikeresen be lett jelentkezve
További információ: Naplózás konfigurálása Microsoft Entra Connecten.
Egyéb szükséges Windows-események
Az alábbi általános Windows-eseményekre van szükség az összes Defender for Identity-érzékelőhöz:
- 4662: Műveletet hajtottak végre egy objektumon
- 4726: Felhasználói fiók törölve
- 4728: Tag hozzáadva a globális biztonsági csoporthoz
- 4729: Tag eltávolítva a globális biztonsági csoportból
- 4730: Globális biztonsági csoport törölve
- 4732: Tag hozzáadva a helyi biztonsági csoporthoz
- 4733: Tag eltávolítva a helyi biztonsági csoportból
- 4741: Számítógépfiók hozzáadva
- 4743: Számítógépfiók törölve
- 4753: Globális terjesztési csoport törölve
- 4756: Tag hozzáadva az univerzális biztonsági csoporthoz
- 4757: Tag eltávolítva az univerzális biztonsági csoportból
- 4758: Univerzális biztonsági csoport törölve
- 4763: Univerzális terjesztési csoport törölve
- 4776: A tartományvezérlő megpróbálta ellenőrizni egy fiók hitelesítő adatait (NTLM)
- 5136: Egy címtárszolgáltatás-objektum módosult
- 7045: Új szolgáltatás telepítve
- 8004: NTLM-hitelesítés
További információ: NTLM-naplózás konfigurálása és Tartományobjektumok naplózásának konfigurálása.
Eseménygyűjtés önálló érzékelőkhöz
Ha önálló Defender for Identity-érzékelővel dolgozik, manuálisan konfigurálja az eseménygyűjtést az alábbi módszerek egyikével:
- Figyelheti a biztonsági információkat és az eseménykezelési (SIEM) eseményeket a Defender for Identity önálló érzékelőjén. A Defender for Identity támogatja a SIEM-rendszerből vagy a syslog-kiszolgálóról érkező UDP-forgalmat.
- Konfigurálja a Windows eseménytovábbítást a Defender for Identity önálló érzékelőjéhez. Amikor syslog-adatokat továbbít egy különálló érzékelőnek, ügyeljen arra, hogy ne továbbítja az összes syslog-adatot az érzékelőnek.
Fontos
A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észlelés adatait biztosítják. A környezet teljes körű lefedése érdekében javasoljuk, hogy telepítse a Defender for Identity érzékelőt.
További információért tekintse meg a SIEM-rendszer vagy a syslog-kiszolgáló termékdokumentációját.