Gebeurtenisverzameling met Microsoft Defender for Identity
De Microsoft Defender for Identity-sensor is geconfigureerd voor het automatisch verzamelen van syslog-gebeurtenissen. Voor Windows-gebeurtenissen is Defender for Identity-detectie afhankelijk van specifieke gebeurtenislogboeken, die de sensor parseert van uw domeincontrollers.
Gebeurtenisverzameling voor domeincontrollers en AD FS/AD CS-servers
Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, vereisen uw domeincontrollers of AD FS / AD CS-servers nauwkeurige, geavanceerde controlebeleidsinstellingen.
Zie Auditbeleid configureren voor Windows-gebeurtenislogboeken voor meer informatie.
Verwijzing naar vereiste gebeurtenissen
In deze sectie worden de Windows-gebeurtenissen vermeld die vereist zijn voor de Defender for Identity-sensor, wanneer deze is geïnstalleerd op AD FS-/AD CS-servers of op domeincontrollers.
Vereiste Active Directory Federation Services -gebeurtenissen (AD FS)
De volgende gebeurtenissen zijn vereist voor AD FS-servers (Active Directory Federation Services):
- 1202 - De Federation-service heeft een nieuwe referentie gevalideerd
- 1203 - De Federation Service kan geen nieuwe referentie valideren
- 4624 - Er is een account aangemeld
- 4625 - Aanmelden bij een account is mislukt
Zie Controle configureren voor een Active Directory Federation Services (AD FS) voor meer informatie.
Vereiste Active Directory Certificate Services-gebeurtenissen (AD CS)
De volgende gebeurtenissen zijn vereist voor AD CS-servers (Active Directory Certificate Services):
- 4870: Certificate Services heeft een certificaat ingetrokken
- 4882: De beveiligingsmachtigingen voor Certificate Services zijn gewijzigd
- 4885: Het controlefilter voor Certificate Services is gewijzigd
- 4887: Certificate Services heeft een certificaataanvraag goedgekeurd en een certificaat uitgegeven
- 4888: Certificate Services heeft een certificaataanvraag geweigerd
- 4890: De certificaatbeheerinstellingen voor Certificate Services zijn gewijzigd.
- 4896: Een of meer rijen zijn verwijderd uit de certificaatdatabase
Zie Controle configureren voor Active Directory Certificate Services (AD CS) voor meer informatie.
Andere vereiste Windows-gebeurtenissen
De volgende algemene Windows-gebeurtenissen zijn vereist voor alle Defender for Identity-sensoren:
- 4662 - Er is een bewerking uitgevoerd op een object
- 4726 - Gebruikersaccount verwijderd
- 4728 - Lid toegevoegd aan globale beveiligingsgroep
- 4729 - Lid verwijderd uit globale beveiligingsgroep
- 4730 - Globale beveiligingsgroep verwijderd
- 4732 - Lid toegevoegd aan lokale beveiligingsgroep
- 4733 - Lid verwijderd uit lokale beveiligingsgroep
- 4741 - Computeraccount toegevoegd
- 4743 - Computeraccount verwijderd
- 4753 - Globale distributiegroep verwijderd
- 4756 - Lid toegevoegd aan universele beveiligingsgroep
- 4757 - Lid verwijderd uit universele beveiligingsgroep
- 4758 - Universele beveiligingsgroep verwijderd
- 4763 - Universele distributiegroep verwijderd
- 4776 - Domeincontroller heeft geprobeerd referenties te valideren voor een account (NTLM)
- 5136 - Een adreslijstserviceobject is gewijzigd
- 7045 - Nieuwe service geïnstalleerd
- 8004 - NTLM-verificatie
Zie NTLM-controle configureren en domeinobjectcontrole configureren voor meer informatie.
Gebeurtenisverzameling voor zelfstandige sensoren
Als u met een zelfstandige Defender for Identity-sensor werkt, configureert u gebeurtenisverzameling handmatig met behulp van een van de volgende methoden:
- Luister naar SIEM-gebeurtenissen op de zelfstandige sensor van Defender for Identity. Defender for Identity ondersteunt UDP-verkeer van uw SIEM- of syslog-server.
- Windows Event Forwarding configureren naar de zelfstandige sensor van Defender for Identity
Let op
Wanneer u syslog-gegevens doorstuurt naar een zelfstandige sensor, moet u ervoor zorgen dat u niet alle syslog-gegevens doorstuurt naar uw sensor.
Belangrijk
Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.
Zie de productdocumentatie van uw SIEM- of syslog-server voor meer informatie.