Microsoft Defender for Identity를 사용하는 이벤트 컬렉션

Microsoft Defender for Identity 센서는 syslog 이벤트를 자동으로 수집하도록 구성됩니다. Windows 이벤트의 경우 Defender for Identity 검색은 센서가 할 일기본 컨트롤러에서 구문 분석하는 특정 이벤트 로그를 사용합니다.

할 일기본 컨트롤러 및 AD FS/AD CS 서버에 대한 이벤트 컬렉션

올바른 이벤트를 감사하고 Windows 이벤트 로그에 포함하려면 할 일기본 컨트롤러 또는 AD FS/AD CS 서버에 정확한 고급 감사 정책 설정이 필요합니다.

자세한 내용은 Windows 이벤트 로그에 대한 감사 정책 구성을 참조 하세요.

필수 이벤트 참조

이 섹션에서는 Defender for Identity 센서, AD FS/AD CS 서버에 설치되거나 할 일기본 컨트롤러에 설치된 경우 필요한 Windows 이벤트를 나열합니다.

필수 AD FS(Active Directory Federation Services) 이벤트

AD FS(Active Directory Federation Services) 서버에는 다음 이벤트가 필요합니다.

• 1202 - 페더레이션 서비스가 새 자격 증명의 유효성을 검사했습니다.
• 1203 - 페더레이션 서비스가 새 자격 증명의 유효성을 검사하지 못했습니다.
• 4624 - 계정이 로그온되었습니다.
• 4625 - 계정이 로그온하지 못했습니다.

자세한 내용은 AD FS(Active Directory Federation Services)에서 감사 구성을 참조하세요.

필수 AD CS(Active Directory 인증서 서비스) 이벤트

AD CS(Active Directory Certificate Services) 서버에는 다음 이벤트가 필요합니다.

• 4870: 인증서 서비스에서 인증서를 해지했습니다.
• 4882: 인증서 서비스에 대한 보안 권한이 변경됨
• 4885: 인증서 서비스에 대한 감사 필터가 변경됨
• 4887: 인증서 서비스가 인증서 요청을 승인하고 인증서를 발급했습니다.
• 4888: 인증서 서비스에서 인증서 요청을 거부했습니다.
• 4890: 인증서 서비스에 대한 인증서 관리자 설정이 변경되었습니다.
• 4896: 인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다.

자세한 내용은 AD CS(Active Directory Certificate Services)에 대한 감사 구성을 참조하세요.

기타 필수 Windows 이벤트

모든 Defender for Identity 센서에는 다음과 같은 일반적인 Windows 이벤트가 필요합니다.

• 4662 - 개체에 대해 작업이 수행되었습니다.
• 4726 - 사용자 계정 삭제됨
• 4728 - 전역 보안 그룹에 멤버 추가됨
• 4729 - 전역 보안 그룹에서 멤버 제거됨
• 4730 - 전역 보안 그룹 삭제됨
• 4732 - 멤버가 로컬 보안 그룹에 추가됨
• 4733 - 멤버가 로컬 보안 그룹에서 제거됨
• 4741 - 컴퓨터 계정이 추가됨
• 4743 - 컴퓨터 계정이 삭제됨
• 4753 - 전역 메일 그룹 삭제됨
• 4756 - 유니버설 보안 그룹에 멤버 추가됨
• 4757 - 유니버설 보안 그룹에서 멤버 제거됨
• 4758 - 유니버설 보안 그룹 삭제됨
• 4763 - 유니버설 메일 그룹 삭제됨
• 4776 - Do기본 컨트롤러가 계정에 대한 자격 증명의 유효성을 검사하려고 시도했습니다(NTLM)
• 5136 - 디렉터리 서비스 개체가 수정되었습니다.
• 7045 - 새 서비스 설치
• 8004 - NTLM 인증

자세한 내용은 NTLM 감사 구성 및 do기본 개체 감사 구성을 참조하세요.

독립 실행형 센서에 대한 이벤트 수집

독립 실행형 Defender for Identity 센서로 작업하는 경우 다음 방법 중 하나를 사용하여 이벤트 컬렉션을 수동으로 구성합니다.

• Defender for Identity 독립 실행형 센서에서 SIEM 이벤트를 수신 대기합니다. Defender for Identity는 SIEM 또는 syslog 서버에서 UDP 트래픽을 지원합니다.
• Defender for Identity 독립 실행형 센서에 Windows 이벤트 전달 구성

주의

syslog 데이터를 독립 실행형 센서에 전달할 때 모든 syslog 데이터를 센서에 전달하지 않도록 합니다.

Important

Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.

자세한 내용은 SIEM 또는 syslog 서버의 제품 설명서를 참조하세요.

다음 단계

Windows 이벤트 로그에 대한 감사 정책 구성 »