Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity
Czujnik usługi Microsoft Defender for Identity jest skonfigurowany do automatycznego zbierania zdarzeń dziennika systemowego. W przypadku zdarzeń systemu Windows wykrywanie tożsamości w usłudze Defender opiera się na określonych dziennikach zdarzeń, które czujnik analizuje z kontrolerów domeny.
Zbieranie zdarzeń dla kontrolerów domeny i usług AD FS / serwerów usług AD CS
W celu przeprowadzenia inspekcji i włączenia odpowiednich zdarzeń w dzienniku zdarzeń systemu Windows kontrolery domeny lub serwery usług AD FS/AD CS wymagają dokładnych, zaawansowanych ustawień zasad inspekcji.
Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.
Odwołanie do wymaganych zdarzeń
W tej sekcji wymieniono zdarzenia systemu Windows wymagane przez czujnik usługi Defender for Identity po zainstalowaniu na serwerach usług AD FS/AD CS lub na kontrolerach domeny.
Wymagane zdarzenia usług Active Directory Federation Services (AD FS)
Następujące zdarzenia są wymagane dla serwerów usług Active Directory Federation Services (AD FS):
- 1202 — Usługa federacyjna zweryfikowała nowe poświadczenie
- 1203 — Usługa federacyjna nie mogła zweryfikować nowego poświadczenia
- 4624 — Pomyślnie zalogowano konto
- 4625 — Nie można zalogować się na koncie
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji w usługach Active Directory Federation Services (AD FS).
Wymagane zdarzenia usług certyfikatów Active Directory (AD CS)
Następujące zdarzenia są wymagane dla serwerów usług certyfikatów Active Directory (AD CS):
- 4870: Usługi certyfikatów odwołały certyfikat
- 4882: Zmieniono uprawnienia zabezpieczeń usług certyfikatów
- 4885: Zmieniono filtr inspekcji dla usług certyfikatów
- 4887: Usługi certyfikatów zatwierdziły żądanie certyfikatu i wystawiły certyfikat
- 4888: Usługi certyfikatów odmówiły żądania certyfikatu
- 4890: Zmieniono ustawienia menedżera certyfikatów dla usług certyfikatów.
- 4896: Co najmniej jeden wiersz został usunięty z bazy danych certyfikatów
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji dla usług certyfikatów Active Directory (AD CS).
Inne wymagane zdarzenia systemu Windows
Następujące ogólne zdarzenia systemu Windows są wymagane dla wszystkich czujników usługi Defender for Identity:
- 4662 — Operacja została wykonana na obiekcie
- 4726 — Usunięte konto użytkownika
- 4728 — Członek dodany do globalnej grupy zabezpieczeń
- 4729 — Członek usunięty z globalnej grupy zabezpieczeń
- 4730 — Usunięto globalną grupę zabezpieczeń
- 4732 — członek dodany do lokalnej grupy zabezpieczeń
- 4733 — Członek usunięty z lokalnej grupy zabezpieczeń
- 4741 — Dodane konto komputera
- 4743 — Usunięte konto komputera
- 4753 — Usunięto globalną grupę dystrybucyjną
- 4756 — Członek dodany do grupy zabezpieczeń uniwersalnych
- 4757 — Element członkowski usunięty z grupy zabezpieczeń uniwersalnych
- 4758 — Usunięto uniwersalną grupę zabezpieczeń
- 4763 — Usunięto uniwersalną grupę dystrybucyjną
- 4776 — Kontroler domeny próbował zweryfikować poświadczenia dla konta (NTLM)
- 5136 — Obiekt usługi katalogowej został zmodyfikowany
- 7045 — zainstalowano nową usługę
- 8004 — Uwierzytelnianie NTLM
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji NTLM i Konfigurowanie inspekcji obiektów domeny.
Zbieranie zdarzeń dla autonomicznych czujników
Jeśli pracujesz z autonomicznym czujnikiem usługi Defender for Identity, skonfiguruj zbieranie zdarzeń ręcznie przy użyciu jednej z następujących metod:
- Nasłuchiwanie zdarzeń SIEM w autonomicznym czujniku usługi Defender for Identity. Usługa Defender for Identity obsługuje ruch UDP z serwera SIEM lub syslog.
- Konfigurowanie przekazywania zdarzeń systemu Windows do autonomicznego czujnika usługi Defender for Identity
Uwaga
Podczas przekazywania danych dziennika systemowego do autonomicznego czujnika upewnij się, że nie przesyłaj dalej wszystkich danych dziennika systemowego do czujnika.
Ważne
Autonomiczne czujniki usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń systemu Windows (ETW), które zapewniają dane dla wielu wykryć. Aby uzyskać pełny zakres środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.
Aby uzyskać więcej informacji, zobacz dokumentację produktu serwera SIEM lub syslog.