Gebeurtenisverzameling met Microsoft Defender for Identity

Een Microsoft Defender for Identity-sensor is geconfigureerd voor het automatisch verzamelen van syslog-gebeurtenissen. Voor Windows-gebeurtenissen is Defender for Identity-detectie afhankelijk van specifieke gebeurtenislogboeken. De sensor parseert deze gebeurtenislogboeken van uw domeincontrollers.

Gebeurtenisverzameling voor AD FS-servers, AD CS-servers, Microsoft Entra Connect-servers en domeincontrollers

Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, vereisen uw Ad FS-servers (Active Directory Federation Services), Active Directory Certificate Services (AD CS)-servers, Microsoft Entra Connect-servers of domeincontrollers nauwkeurige instellingen voor geavanceerd controlebeleid.

Zie Auditbeleid configureren voor Windows-gebeurtenislogboeken voor meer informatie.

Verwijzing naar vereiste gebeurtenissen

In deze sectie worden de Windows-gebeurtenissen vermeld die de Defender for Identity-sensor nodig heeft wanneer deze is geïnstalleerd op AD FS-servers, AD CS-servers, Microsoft Entra Connect-servers of domeincontrollers.

Vereiste AD FS-gebeurtenissen

De volgende gebeurtenissen zijn vereist voor AD FS-servers:

• 1202: De Federation Service heeft een nieuwe referentie gevalideerd
• 1203: De Federation-service kan geen nieuwe referentie valideren
• 4624: Er is een account aangemeld
• 4625: Aanmelden bij een account is mislukt

Zie Controle configureren in Active Directory Federation Services voor meer informatie.

Vereiste AD CS-gebeurtenissen

De volgende gebeurtenissen zijn vereist voor AD CS-servers:

• 4870: Certificate Services heeft een certificaat ingetrokken
• 4882: De beveiligingsmachtigingen voor Certificate Services zijn gewijzigd
• 4885: Het controlefilter voor Certificate Services is gewijzigd
• 4887: Certificate Services heeft een certificaataanvraag goedgekeurd en een certificaat uitgegeven
• 4888: Certificate Services heeft een certificaataanvraag geweigerd
• 4890: De certificaatbeheerinstellingen voor Certificate Services zijn gewijzigd
• 4896: Een of meer rijen zijn verwijderd uit de certificaatdatabase

Zie Controle configureren voor Active Directory Certificate Services voor meer informatie.

Vereiste Microsoft Entra Connect-gebeurtenissen

De volgende gebeurtenis is vereist voor Microsoft Entra Connect-servers:

• 4624: Er is een account aangemeld

Zie Controle configureren in Microsoft Entra Connect voor meer informatie.

Andere vereiste Windows-gebeurtenissen

De volgende algemene Windows-gebeurtenissen zijn vereist voor alle Defender for Identity-sensoren:

• 4662: Er is een bewerking uitgevoerd op een object
• 4726: Gebruikersaccount verwijderd
• 4728: Lid toegevoegd aan globale beveiligingsgroep
• 4729: Lid verwijderd uit globale beveiligingsgroep
• 4730: Globale beveiligingsgroep verwijderd
• 4732: Lid toegevoegd aan lokale beveiligingsgroep
• 4733: Lid verwijderd uit lokale beveiligingsgroep
• 4741: Computeraccount toegevoegd
• 4743: Computeraccount verwijderd
• 4753: Globale distributiegroep verwijderd
• 4756: Lid toegevoegd aan Universele beveiligingsgroep
• 4757: Lid verwijderd uit universele beveiligingsgroep
• 4758: Universele beveiligingsgroep verwijderd
• 4763: Universele distributiegroep verwijderd
• 4776: Domeincontroller heeft geprobeerd referenties te valideren voor een account (NTLM)
• 5136: Er is een adreslijstserviceobject gewijzigd
• 7045: Nieuwe service geïnstalleerd
• 8004: NTLM-verificatie

Zie NTLM-controle configureren en domeinobjectcontrole configureren voor meer informatie.

Gebeurtenisverzameling voor zelfstandige sensoren

Als u met een zelfstandige Defender for Identity-sensor werkt, configureert u gebeurtenisverzameling handmatig met behulp van een van de volgende methoden:

• Luister naar SIEM-gebeurtenissen (Security Information and Event Management) op uw zelfstandige Defender for Identity-sensor. Defender for Identity ondersteunt UDP-verkeer (User Datagram Protocol) van uw SIEM-systeem of uw syslog-server.
• Configureer Windows Event Forwarding naar uw zelfstandige Defender for Identity-sensor. Wanneer u syslog-gegevens doorstuurt naar een zelfstandige sensor, moet u ervoor zorgen dat u niet alle syslog-gegevens doorstuurt naar uw sensor.

Belangrijk

Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.

Zie de productdocumentatie voor uw SIEM-systeem of uw syslog-server voor meer informatie.

Volgende stap

Controlebeleid configureren voor Windows-gebeurtenislogboeken