Configurar políticas de auditoria para logs de eventos do Windows
A detecção do Microsoft Defender para Identidade depende de entradas específicas do log de eventos do Windows para aprimorar as detecções e fornecer informações extras sobre os usuários que executaram ações específicas, como logons NTLM e modificações em grupo de segurança.
Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, seus controladores de domínio exigem configurações específicas de Política de Auditoria Avançada do Windows Server. Configurações de Política de Auditoria Avançada definidas incorretamente podem causar lacunas no Log de Eventos e uma cobertura incompleta do Defender para Identidade.
Este artigo descreve como definir as configurações de Política de Auditoria Avançada conforme necessário para um sensor do Defender para Identidade, além de outras configurações para tipos de eventos específicos.
Para obter mais informações, consulte O que é a coleta de eventos do Windows para o Defender para Identidade e Políticas de auditoria de segurança avançada na documentação do Windows.
Gerar um relatório com as configurações atuais via PowerShell
Pré-requisitos: antes de executar os comandos do PowerShell do Defender para Identidade, verifique se você baixou o módulo do PowerShell do Defender para Identidade.
Antes de começar a criar novas políticas de evento e auditoria, recomendamos que você execute o seguinte comando do PowerShell para gerar um relatório de suas configurações de domínio atuais:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Onde:
- Path especifica o caminho para salvar os relatórios
- Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.
- OpenHtmlReport abre o relatório HTML depois que o relatório é gerado
Por exemplo, para gerar um relatório e abri-lo no navegador padrão, execute o seguinte comando:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Para saber mais, consulte a referência do PowerShell do Defender para Identidade.
Dica
O Domain
relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se você tiver configurações definidas localmente em seus controladores de domínio, recomendamos que você também execute o script Test-MdiReadiness.ps1.
Configurar auditoria para controladores de domínio
Ao trabalhar com um controlador de domínio, você precisa atualizar suas configurações de Política de Auditoria Avançada e configurações extras para eventos e tipos de eventos específicos, como usuários, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:
Definir as configurações de Política de Auditoria Avançada
Este procedimento descreve como modificar as Políticas de Auditoria Avançada do controlador de domínio, conforme necessário, para o Defender para Identidade.
Faça logon no servidor como Administrador de Domínio.
Abra o Editor de Gerenciamento de Política de Grupo em Gerenciador de Servidores>Ferramentas>Gerenciamento de Política de Grupo.
Expanda as Unidades Organizacionais de Controladores de Domínio, clique com botão direito do mouse em Política de Controladores de Domínio Padrão e escolha Editar. Por exemplo:
Observação
Use a Política de Controladores de Domínio Padrão ou um GPO dedicado para definir essas políticas.
Na janela aberta, vá para Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança e, dependendo da política que você deseja habilitar, faça o seguinte:
Vá para Configuração de Política de Auditoria Avançada>Políticas de Auditoria. Por exemplo:
Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha.
Política de auditoria Subcategoria Dispara IDs de evento Logon da conta Auditoria da validação de credenciais 4776 Gerenciamento de Contas Auditoria de Gerenciamento da Conta de Computador * 4741, 4743 Gerenciamento de Contas Auditoria do Gerenciamento do Grupo de Distribuição 4753, 4763 Gerenciamento de Contas Auditoria de Gerenciamento de Grupo de Segurança * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Gerenciamento de Contas Auditoria do Gerenciamento de Contas de Usuário 4726 Acesso DS Auditoria de Alterações no Serviço de Diretório 5136 Sistema Auditoria de Extensão de Sistema de Segurança * 7045 Acesso DS Auditoria do Acesso ao Serviço de Diretório 4662 (para este evento, você também precisa configurar a auditoria de objetos de domínio) Observação
* As subcategorias observadas não oferecem suporte a eventos de falha. No entanto, recomendamos adicioná-los para fins de auditoria caso sejam implementados no futuro. Para obter mais informações, consulte Auditoria do Gerenciamento da Conta de Computador, Auditoria de Gerenciamento de Grupo de Segurança e Auditoria de Extensão de Sistema de Segurança.
Por exemplo, para configurar o Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Conta, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha:
Em um prompt de comandos com privilégios elevados, digite
gpupdate
.Depois de aplicar a política via GPO, os novos eventos ficam visíveis no Visualizador de Eventos, em Logs do Windows ->Segurança.
Testar políticas de auditoria da linha de comando
Para testar suas políticas de auditoria da linha de comando, execute o seguinte comando:
auditpol.exe /get /category:*
Para obter mais informações, consulte a documentação de referência de auditpol.
Configurar, obter e testar políticas de auditoria usando o PowerShell
Para configurar políticas de auditoria usando o PowerShell, execute o seguinte comando:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Onde:
Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.
Configuration especifica qual configuração definir. Use
All
para definir todas as configurações.CreateGpoDisabled especifica se os GPOs são criados e mantidos como desabilitados.
SkipGpoLink especifica que os links de GPO não são criados.
Force especifica que a configuração está definida ou que os GPOs são criados sem validar o estado atual.
Para exibir ou testar suas políticas de auditoria usando o PowerShell, execute os comandos a seguir conforme necessário. Use o comando Get-MDIConfiguration para mostrar os valores atuais. Use o comando Test-MDIConfiguration para obter uma resposta true
ou false
para saber se os valores estão configurados corretamente.
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Onde:
Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.
Configuration especifica qual configuração obter. Use
All
para obter todas as configurações.
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Onde:
Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.
Configuration especifica qual configuração testar. Use
All
para testar todas as configurações.
Para saber mais, consulte as seguintes referências do Defender para Identidade do PowerShell:
Configurar auditoria NTLM
Esta seção descreve as etapas extras de configuração necessárias para auditar o ID de Evento 8004.
Observação
- As políticas de grupo de domínio para coletar o Evento 8004 do Windows devem ser aplicadas somente a controladores de domínio.
- Quando o Evento 8004 do Windows é analisado pelo sensor do Defender para Identidade, as atividades de autenticações NTLM do Defender para Identidade são enriquecidas com os dados acessados pelo servidor.
Seguindo as etapas iniciais, abra o Gerenciamento de Política de Grupo e vá para Política de Controladores de Domínio Padrão>Políticas Locais>Opções de Segurança.
Em Opções de Segurança, configure as políticas de segurança especificadas da seguinte maneira:
Configuração de política de segurança Valor Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Auditar tudo Segurança de rede: Restringir NTLM: Auditar autenticação NTLM neste domínio Habilitar tudo Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada Habilitar auditoria para todas as contas
Por exemplo, para configurar o Tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos e selecione Auditar tudo:
Configurar auditoria de objetos de domínio
Para coletar eventos de alterações de objeto, como o evento 4662, você também deve configurar a auditoria de objeto no usuário, grupo, computador e outros objetos. Este procedimento descreve como habilitar a auditoria no domínio do Active Directory.
Importante
Certifique-se de revisar e verificar suas políticas de auditoria antes de habilitar a coleta de eventos para garantir que os controladores de domínio estejam configurados corretamente de modo a registrar os eventos necessários. Se estiverem configurados corretamente, essa auditoria terá um impacto mínimo no desempenho do servidor.
Vá para o console Usuários e Computadores do Active Directory.
Escolha o domínio a auditar.
Selecione o menu Exibir e selecione Recursos Avançados.
Clique com o botão direito do mouse no domínio e selecione Propriedades. Por exemplo:
Vá para a guia Segurança e selecione Avançado. Por exemplo:
Em Configurações de Segurança Avançadas, escolha a guia Auditoria e, em seguida, escolha Adicionar. Por exemplo:
Selecione Selecionar uma entidade de segurança. Por exemplo:
Em Inserir o nome do objeto para selecionar, insira Todos e selecione Verificar Nomes>OK. Por exemplo:
Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:
Em Tipo, selecione Êxito.
Em Aplica-se a, escolha Objetos de Usuários Descendentes.
Em Permissões, role para baixo e selecione o botão Limpar tudo. Por exemplo:
Role de volta para cima e selecione Controle Total. Todas as permissões são selecionadas.
Desmarque a seleção das permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e selecione OK. Isso define todas as configurações de Propriedades como Gravação. Por exemplo:
Agora, quando disparadas, todas as alterações relevantes nos serviços de diretório aparecem como eventos
4662
.
Repita as etapas neste procedimento, mas para Aplica-se a, selecione os seguintes tipos de objeto:
- Objetos de Grupos Descendentes
- Objetos de Computadores Descendentes
- Objetos msDS-GroupManagedServiceAccount descendentes
- Objetos msDS-ManagedServiceAccount descendentes
Observação
A atribuição das permissões de auditoria em Todos os objetos descendentes também funcionaria, mas exigimos apenas os tipos de objeto, conforme detalhado na última etapa.
Configurar auditoria nos Serviços de Federação do Active Directory (AD FS)
Acesse o console de Usuários e Computadores do Active Directory e escolha o domínio para habilitar os logons.
Vá para Dados do Programa>Microsoft>ADFS. Por exemplo:
Clique com o botão direito do mouse em ADFS e selecione Propriedades.
Vá para a guia Segurança e selecione Avançado>Configurações de Segurança Avançadas> a guia Auditoria>Adicionar>Selecionar uma entidade de segurança.
Em Inserir o nome do objeto para selecionar, insira Todos.
Selecione Verificar Nomes>OK.
Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:
- Em Tipo, selecione Todos.
- Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
- Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.
Por exemplo:
Selecione OK.
Configurar auditoria para os Serviços de Certificados do Active Directory (AD CS)
Se você estiver trabalhando com um servidor dedicado com os Serviços de Certificados do Active Directory (AD CS) configurados, configure a auditoria da seguinte forma para exibir alertas dedicados e relatórios de pontuação segura:
Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-a e defina as seguintes configurações de auditoria:
Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração de Política de Auditoria Avançada\Políticas de Auditoria\Acesso a Objetos\Auditoria de Serviços de Certificados e escolha as duas opções.
Selecione para configurar eventos de auditoria no caso de Êxito e Falha. Por exemplo:
Configure a auditoria na AC (autoridade de certificação) usando um dos seguintes métodos:
Para configurar a auditoria da AC usando a linha de comando, execute:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Para configurar a auditoria da AC usando a GUI:
Selecione Iniciar -> Autoridade de Certificação (aplicativo da área de trabalho MMC Desktop). Clique com o botão direito do mouse no nome da Autoridade de Certificação e escolha Propriedades. Por exemplo:
Escolha a guia Auditoria, depois todos os eventos a auditar, e escolha Aplicar. Por exemplo:
Observação
Configurar a auditoria de eventos Iniciar e Parar os Serviços de Certificados do Active Directory pode causar atrasos de reinicialização ao lidar com um grande banco de dados do AD CS. Considere remover entradas irrelevantes do banco de dados ou, como alternativa, abster-se de habilitar esse tipo específico de evento.
Configurar auditoria no contêiner de configuração
Abra o Editor ADSI selecionando Iniciar>Executar. Insira
ADSIEdit.msc
e selecione OK.No menu Ação, escolha Conectar a.
Na caixa de diálogo Configurações de Conexão, em Selecionar um Contexto de Nomenclatura conhecido, selecione Configuração>OK.
Expanda o contêiner Configuração para mostrar o nó Configuração, que começa com "CN=Configuration,DC=..."
Clique com o botão direito do mouse no nó Configuração e escolha Propriedades. Por exemplo:
Selecione a guia Segurança tab >Avançado.
Em Configurações de Segurança Avançadas, escolha a guia Auditoria>Adicionar.
Selecione Selecionar uma entidade de segurança.
Em Inserir o nome do objeto para selecionar, insira Todos e selecione Verificar Nomes>OK.
Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:
- Em Tipo, selecione Todos.
- Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
- Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.
Por exemplo:
Selecione OK.
Configurações herdadas
Importante
O Defender para Identidade não requer mais o registro em log de 1644 eventos. Se você tiver essa configuração do Registro habilitada, poderá removê-la.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Conteúdo relacionado
Para obter mais informações, confira Auditoria de segurança do Windows.