Raccolta di eventi con Microsoft Defender per identità
Un sensore Microsoft Defender per identità è configurato per raccogliere automaticamente gli eventi syslog. Per gli eventi di Windows, il rilevamento di Defender per identità si basa su registri eventi specifici. Il sensore analizza questi registri eventi dai controller di dominio.
Raccolta di eventi per server AD FS, server Servizi certificati Active Directory, server Microsoft Entra Connect e controller di dominio
Affinché gli eventi corretti vengano controllati e inclusi nel registro eventi di Windows, i server Active Directory Federation Services (AD FS), i server Active Directory Certificate Services (AD CS), i server Microsoft Entra Connect o i controller di dominio richiedono impostazioni accurate dei criteri di controllo avanzati.
Per altre informazioni, vedere Configurare i criteri di controllo per i registri eventi di Windows.
Riferimento degli eventi obbligatori
Questa sezione elenca gli eventi di Windows richiesti dal sensore Defender per identità quando è installato nei server AD FS, nei server SERVIZI certificati Active Directory, nei server Microsoft Entra Connect o nei controller di dominio.
Eventi ad AD FS necessari
Per i server AD FS sono necessari gli eventi seguenti:
- 1202: Il servizio federativo ha convalidato una nuova credenziale
- 1203: Il servizio federativo non è riuscito a convalidare una nuova credenziale
- 4624: Un account è stato connesso correttamente
- 4625: Un account non è riuscito ad accedere
Per altre informazioni, vedere Configurare il controllo in Active Directory Federation Services.
Eventi di Servizi certificati Active Directory necessari
Per i server Servizi certificati Active Directory sono necessari gli eventi seguenti:
- 4870: Servizi certificati ha revocato un certificato
- 4882: Le autorizzazioni di sicurezza per Servizi certificati sono state modificate
- 4885: Filtro di controllo per Servizi certificati modificato
- 4887: Servizi certificati ha approvato una richiesta di certificato ed emesso un certificato
- 4888: Servizi certificati ha negato una richiesta di certificato
- 4890: Le impostazioni di Gestione certificati per Servizi certificati sono state modificate
- 4896: una o più righe sono state eliminate dal database del certificato
Per altre informazioni, vedere Configurare il controllo per Servizi certificati Active Directory.
Eventi necessari di Microsoft Entra Connect
Per i server Microsoft Entra Connect è necessario l'evento seguente:
- 4624: Un account è stato connesso correttamente
Per altre informazioni, vedere Configurare il controllo in Microsoft Entra Connect.
Altri eventi di Windows necessari
Per tutti i sensori Defender per identità sono necessari gli eventi di Windows generali seguenti:
- 4662: Un'operazione è stata eseguita su un oggetto
- 4726: Account utente eliminato
- 4728: Membro aggiunto al gruppo di sicurezza globale
- 4729: Membro rimosso dal gruppo di sicurezza globale
- 4730: Gruppo di sicurezza globale eliminato
- 4732: Membro aggiunto al gruppo di sicurezza locale
- 4733: Membro rimosso dal gruppo di sicurezza locale
- 4741: Account computer aggiunto
- 4743: Account computer eliminato
- 4753: Gruppo di distribuzione globale eliminato
- 4756: Membro aggiunto al gruppo di sicurezza universale
- 4757: Membro rimosso dal gruppo di sicurezza universale
- 4758: Gruppo di sicurezza universale eliminato
- 4763: Gruppo di distribuzione universale eliminato
- 4776: Controller di dominio ha tentato di convalidare le credenziali per un account (NTLM)
- 5136: Un oggetto servizio directory è stato modificato
- 7045: Nuovo servizio installato
- 8004: Autenticazione NTLM
Per altre informazioni, vedere Configurare il controllo NTLM e Configurare il controllo degli oggetti di dominio.
Raccolta di eventi per sensori autonomi
Se si usa un sensore autonomo defender per identità, configurare manualmente la raccolta di eventi usando uno dei metodi seguenti:
- Ascoltare gli eventi siem (Security Information and Event Management) nel sensore autonomo defender per identità. Defender per identità supporta il traffico UDP (User Datagram Protocol) dal sistema SIEM o dal server syslog.
- Configurare l'inoltro di eventi di Windows al sensore autonomo defender per identità. Quando si inoltrano dati syslog a un sensore autonomo, assicurarsi di non inoltrare tutti i dati syslog al sensore.
Importante
I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Per altre informazioni, vedere la documentazione del prodotto per il sistema SIEM o il server syslog.