다음을 통해 공유

Microsoft Defender for Identity를 사용하는 이벤트 컬렉션

  • 아티클

Microsoft Defender for Identity 센서는 syslog 이벤트를 자동으로 수집하도록 구성됩니다. Windows 이벤트의 경우 Defender for Identity 검색은 특정 이벤트 로그를 사용합니다. 센서는 도메인 컨트롤러에서 이러한 이벤트 로그를 구문 분석합니다.

AD FS 서버, AD CS 서버, Microsoft Entra Connect 서버 및 도메인 컨트롤러에 대한 이벤트 컬렉션

올바른 이벤트를 감사하고 Windows 이벤트 로그에 포함하려면 AD FS(Active Directory Federation Services) 서버, AD CS(Active Directory Certificate Services) 서버, Microsoft Entra Connect 서버 또는 도메인 컨트롤러에 정확한 고급 감사 정책 설정이 필요합니다.

자세한 내용은 Windows 이벤트 로그에 대한 감사 정책 구성을 참조 하세요.

필수 이벤트 참조

이 섹션에서는 Defender for Identity 센서가 AD FS 서버, AD CS 서버, Microsoft Entra Connect 서버 또는 도메인 컨트롤러에 설치될 때 필요한 Windows 이벤트를 나열합니다.

필수 AD FS 이벤트

AD FS 서버에는 다음 이벤트가 필요합니다.

  • 1202: 페더레이션 서비스에서 새 자격 증명의 유효성을 검사했습니다.
  • 1203: 페더레이션 서비스가 새 자격 증명의 유효성을 검사하지 못했습니다.
  • 4624: 계정에 로그온됨
  • 4625: 계정에 로그온하지 못함

자세한 내용은 Active Directory Federation Services에 대한 감사 구성을 참조 하세요.

필수 AD CS 이벤트

AD CS 서버에는 다음 이벤트가 필요합니다.

  • 4870: 인증서 서비스에서 인증서를 해지했습니다.
  • 4882: 인증서 서비스에 대한 보안 권한이 변경됨
  • 4885: 인증서 서비스에 대한 감사 필터가 변경됨
  • 4887: 인증서 서비스가 인증서 요청을 승인하고 인증서를 발급했습니다.
  • 4888: 인증서 서비스에서 인증서 요청을 거부했습니다.
  • 4890: 인증서 서비스에 대한 인증서 관리자 설정이 변경됨
  • 4896: 인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다.

자세한 내용은 Active Directory 인증서 서비스에 대한 감사 구성을 참조 하세요.

필수 Microsoft Entra Connect 이벤트

Microsoft Entra Connect 서버에는 다음 이벤트가 필요합니다.

  • 4624: 계정에 로그온됨

자세한 내용은 Microsoft Entra Connect에서 감사 구성을 참조 하세요.

기타 필수 Windows 이벤트

모든 Defender for Identity 센서에는 다음과 같은 일반적인 Windows 이벤트가 필요합니다.

  • 4662: 개체에 대해 작업이 수행되었습니다.
  • 4726: 사용자 계정 삭제됨
  • 4728: 전역 보안 그룹에 추가된 멤버
  • 4729: 전역 보안 그룹에서 멤버 제거됨
  • 4730: 전역 보안 그룹 삭제됨
  • 4732: 멤버가 로컬 보안 그룹에 추가됨
  • 4733: 로컬 보안 그룹에서 제거된 멤버
  • 4741: 컴퓨터 계정이 추가됨
  • 4743: 컴퓨터 계정이 삭제됨
  • 4753: 전역 메일 그룹 삭제됨
  • 4756: 유니버설 보안 그룹에 추가된 멤버
  • 4757: 유니버설 보안 그룹에서 멤버 제거됨
  • 4758: 유니버설 보안 그룹 삭제됨
  • 4763: 유니버설 메일 그룹 삭제됨
  • 4776: 도메인 컨트롤러가 계정에 대한 자격 증명의 유효성을 검사하려고 시도했습니다(NTLM)
  • 5136: 디렉터리 서비스 개체가 수정되었습니다.
  • 7045: 새 서비스 설치
  • 8004: NTLM 인증

자세한 내용은 NTLM 감사 구성 및 도메인 개체 감사 구성을 참조하세요.

독립 실행형 센서에 대한 이벤트 수집

독립 실행형 Defender for Identity 센서로 작업하는 경우 다음 방법 중 하나를 사용하여 이벤트 컬렉션을 수동으로 구성합니다.

  • Defender for Identity 독립 실행형 센서에서 SIEM(보안 정보 및 이벤트 관리) 이벤트를 수신 대기합니다. Defender for Identity는 SIEM 시스템 또는 syslog 서버에서 UDP(사용자 데이터그램 프로토콜) 트래픽을 지원합니다.
  • Defender for Identity 독립 실행형 센서에 Windows 이벤트 전달을 구성합니다. syslog 데이터를 독립 실행형 센서에 전달하는 경우 모든 syslog 데이터를 센서에 전달하지 않도록 합니다.

Important

Defender for Identity 독립 실행형 센서는 여러 검색에 대한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 컬렉션을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.

자세한 내용은 SIEM 시스템 또는 syslog 서버에 대한 제품 설명서를 참조하세요.

다음 단계

Windows 이벤트 로그에 대한 감사 정책 구성