Microsoft Defender for Identity によるイベント収集

Microsoft Defender for Identity センサーは、syslog イベントを自動的に収集するように構成されています。 Windows イベントの場合、Defender for Identity の検出は、センサーによってドメイン コントローラーから解析される、特定のイベント ログに依存しています。

ドメイン コントローラーおよび AD FS/AD CS サーバーのイベント収集

正しいイベントを監査して Windows イベント ログに含めるには、ドメイン コントローラーまたは AD FS/AD CS サーバーに正確かつ高度な監査ポリシー設定が必要です。

詳細については、「Windows イベント ログの監査ポリシーを構成する」を参照してください。

必要なイベントの参照

このセクションでは、AD FS/AD CS サーバーまたはドメイン コントローラーにインストールされた Defender for Identity センサーに必要な Windows イベントの一覧を示します。

必要な Active Directory フェデレーション サービス (AD FS) イベント

Active Directory フェデレーション サービス (AD FS) サーバーには以下のイベントが必要です。

• 1202 - フェデレーション サービスが新しい資格情報を検証しました
• 1203 - フェデレーション サービスが新しい資格情報を検証できませんでした
• 4624 - アカウントが正常にログオンしました
• 4625 - アカウントのログオンに失敗しました

詳しくは、「Active Directory フェデレーション サービス (AD FS) の監査を構成する」を参照してください。

必要な Active Directory 証明書サービス (AD CS) イベント

Active Directory 証明書サービス (AD CS) サーバーには、次のイベントが必要です。

• 4870: 証明書サービスは証明書を取り消しました
• 4882: 証明書サービスのセキュリティのアクセス許可が変更されました
• 4885: 証明書サービスの監査フィルターが変更されました
• 4887: 証明書サービスは証明書の要求を許可し、証明書を発行しました
• 4888: 証明書サービスは証明書の要求を拒否しました
• 4890: 証明書サービスの証明書マネージャーの設定が変更されました
• 4896: 証明書データベースから 1 つ以上の行が削除されました

詳しくは、「Active Directory 証明書サービス (AD CS) の監査を構成する」を参照してください。

その他の必要な Windows イベント

すべての Defender for Identity センサーには、次の一般的な Windows イベントが必要です。

• 4662 - オブジェクトで操作は実行されませんでした
• 4726 - ユーザーアカウント削除済み
• 4728 - グローバル セキュリティ グループにメンバーが追加されました
• 4729 - メンバーがグローバル セキュリティ グループから削除されました
• 4730 - グローバル セキュリティ グループが削除されました
• 4732 - ローカル セキュリティ グループにメンバーが追加されました
• 4733 - メンバーがローカル セキュリティ グループから削除されました
• 4741 - コンピューター アカウントが追加されました
• 4743 - コンピューター アカウントが削除されました
• 4753 - グローバル ディストリビューション グループが削除されました
• 4756 - ユニバーサル セキュリティ グループにメンバーが追加されました
• 4757 - メンバーがユニバーサル セキュリティ グループから削除されました
• 4758 - ユニバーサル セキュリティ グループが削除されました
• 4763 - ユニバーサル ディストリビューショングループが削除されました
• 4776 - ドメイン コントローラーがアカウント (NTLM) の資格情報の検証を試行しました
• 5136 - ディレクトリ サービス オブジェクトが変更されました
• 7045 - 新しいサービスがインストールされました
• 8004 - NTLM 認証

詳しくは、「NTLM 監査の構成」および「ドメイン オブジェクト監査を構成する」を参照してください。

スタンドアロン センサーのイベント収集

スタンドアロンの Defender for Identity センサーを使用している場合は、次のいずれかの方法を使用して、イベント収集を手動で構成します。

• Defender for Identity スタンドアロン センサーで SIEM イベントをリッスンする Defender for Identity では、SIEM または Syslog サーバーからの UDP トラフィックがサポートされます。
• Defender for Identity スタンドアロン センサーに Windows イベント転送を設定する

注意

Syslog データをスタンドアロン センサーに転送する場合は、すべての Syslog データをセンサーに転送しないようにしてください。

重要

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

詳細については、SIEM または Syslog サーバーのドキュメントを参照してください。

次のステップ

Windows イベント ログの監査ポリシーを構成する »