Koleksi peristiwa dengan Microsoft Defender untuk Identitas
Sensor Microsoft Defender untuk Identitas dikonfigurasi untuk mengumpulkan peristiwa syslog secara otomatis. Untuk peristiwa Windows, deteksi Pertahanan untuk Identitas bergantung pada log peristiwa tertentu, yang diurai sensor dari pengontrol domain Anda.
Pengumpulan peristiwa untuk pengontrol domain dan server AD FS / AD CS
Agar peristiwa yang benar diaudit dan disertakan dalam log peristiwa Windows, pengontrol domain atau server AD FS /AD CS Anda memerlukan pengaturan kebijakan audit tingkat lanjut yang akurat.
Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan audit untuk log peristiwa Windows.
Referensi peristiwa yang diperlukan
Bagian ini mencantumkan peristiwa Windows yang diperlukan oleh sensor Defender for Identity, saat diinstal pada server AD FS / AD CS, atau pada pengontrol domain.
Peristiwa Layanan Federasi Direktori Aktif (AD FS) yang diperlukan
Peristiwa berikut diperlukan untuk server Layanan Federasi Direktori Aktif (AD FS):
- 1202 - Layanan Federasi memvalidasi kredensial baru
- 1203 - Layanan Federasi gagal memvalidasi kredensial baru
- 4624 - Akun berhasil masuk
- 4625 - Akun gagal masuk
Untuk informasi selengkapnya, lihat Mengonfigurasi audit pada Layanan Federasi Direktori Aktif (AD FS).
Peristiwa Active Directory Certificate Services (AD CS) yang diperlukan
Peristiwa berikut diperlukan untuk server Active Directory Certificate Services (AD CS):
- 4870: Layanan Sertifikat mencabut sertifikat
- 4882: Izin keamanan untuk Layanan Sertifikat berubah
- 4885: Filter audit untuk Layanan Sertifikat berubah
- 4887: Layanan Sertifikat menyetujui permintaan sertifikat dan mengeluarkan sertifikat
- 4888: Layanan Sertifikat menolak permintaan sertifikat
- 4890: Pengaturan manajer sertifikat untuk Layanan Sertifikat berubah.
- 4896: Satu atau beberapa baris telah dihapus dari database sertifikat
Untuk informasi selengkapnya, lihat Mengonfigurasi audit untuk Active Directory Certificate Services (AD CS).
Peristiwa Windows lain yang diperlukan
Peristiwa Windows umum berikut diperlukan untuk semua sensor Defender for Identity:
- 4662 - Operasi dilakukan pada objek
- 4726 - Akun Pengguna Dihapus
- 4728 - Anggota Ditambahkan ke Grup Keamanan Global
- 4729 - Anggota Dihapus dari Grup Keamanan Global
- 4730 - Grup Keamanan Global Dihapus
- 4732 - Anggota Ditambahkan ke Grup Keamanan Lokal
- 4733 - Anggota Dihapus dari Grup Keamanan Lokal
- 4741 - Akun Komputer Ditambahkan
- 4743 - Akun Komputer Dihapus
- 4753 - Grup Distribusi Global Dihapus
- 4756 - Anggota Ditambahkan ke Universal Security Group
- 4757 - Anggota Dihapus dari Universal Security Group
- 4758 - Grup Keamanan Universal Dihapus
- 4763 - Grup Distribusi Universal Dihapus
- 4776 - Pengendali Domain Mencoba Memvalidasi Kredensial untuk Akun (NTLM)
- 5136 - Objek layanan direktori dimodifikasi
- 7045 - Layanan Baru Terinstal
- 8004 - Autentikasi NTLM
Untuk informasi selengkapnya, lihat Mengonfigurasi audit NTLM dan Mengonfigurasi audit objek domain.
Pengumpulan peristiwa untuk sensor mandiri
Jika Anda bekerja dengan sensor Defender for Identity mandiri, konfigurasikan pengumpulan peristiwa secara manual menggunakan salah satu metode berikut:
- Dengarkan peristiwa SIEM di sensor mandiri Defender for Identity Anda. Defender for Identity mendukung lalu lintas UDP dari SIEM atau server syslog Anda.
- Mengonfigurasi penerusan peristiwa Windows ke sensor mandiri Defender for Identity Anda
Perhatian
Saat meneruskan data syslog ke sensor mandiri, pastikan untuk tidak meneruskan semua data syslog ke sensor Anda.
Penting
Sensor mandiri Defender for Identity tidak mendukung pengumpulan entri log Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan data untuk beberapa deteksi. Untuk cakupan penuh lingkungan Anda, sebaiknya sebarkan sensor Defender for Identity.
Untuk informasi selengkapnya, lihat dokumentasi produk SIEM atau server syslog Anda.