Coleta de eventos com o Microsoft Defender para Identidade
O sensor do Microsoft Defender para Identidade está configurado para coletar automaticamente eventos de syslog. Para eventos do Windows, a detecção do Defender para Identidade depende de logs de eventos específicos que o sensor analisa dos controladores de domínio.
Coleta de eventos para controladores de domínio e servidores de AD FS/AD CS
Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, seus controladores de domínio ou servidores de AD FS/AD CS exigem configurações precisas de política de auditoria avançada.
Para obter mais informações, confira Configurar políticas de auditoria para logs de eventos do Windows.
Referência dos eventos necessários
Esta seção lista os eventos do Windows exigidos pelo sensor do Defender para Identidade, quando instalado em servidores de AD FS/AD CS ou em controladores de domínio.
Eventos obrigatórios de Serviços de Federação do Active Directory (AD FS)
Os seguintes eventos são necessários para servidores de Serviços de Federação do Active Directory (AD FS):
- 1202: o Serviço de Federação validou uma nova credencial
- 1203: o Serviço de Federação falhou ao validar uma nova credencial
- 4624: logon de uma conta feito com êxito
- 4625: falha no logon de uma conta
Para obter mais informações, confira Configurar auditoria de Serviços de Federação do Active Directory (AD FS).
Eventos obrigatórios de Serviços de Certificados do Active Directory (AD CS)
Os seguintes eventos são necessários para servidores dos Serviços de Certificados do Active Directory (AD CS):
- 4870: os Serviços de Certificados revogaram um certificado
- 4882: as permissões de segurança dos Serviços de Certificados mudaram
- 4885: o filtro de auditoria dos Serviços de Certificados mudou
- 4887: os Serviços de Certificados aprovaram uma solicitação de certificado e emitiram um certificado
- 4888: os Serviços de Certificados negaram uma solicitação de certificado
- 4890: as configurações do gerenciador de certificados dos Serviços de Certificados mudaram
- 4896: uma ou mais linhas foram excluídas do banco de dados de certificados
Para obter mais informações, confira Configurar auditoria para os Serviços de Certificados do Active Directory (ADCS).
Outros eventos do Windows necessários
Os seguintes eventos gerais do Windows são necessários para todos os sensores do Defender para Identidade:
- 4662: uma operação foi executada em um objeto
- 4726: conta de usuário excluída
- 4728: membro adicionado ao grupo de segurança global
- 4729: membro removido do grupo de segurança global
- 4730: grupo de segurança global excluído
- 4732: membro adicionado ao grupo de segurança local
- 4733: membro removido de um grupo de segurança local
- 4741: conta de computador adicionada
- 4743: conta de computador excluída
- 4753: grupo de distribuição global excluído
- 4756: membro adicionado a um grupo de segurança universal
- 4757: membro removido de grupo de segurança universal
- 4758: grupo de segurança universal excluído
- 4763: grupo de distribuição universal excluído
- 4776: o controlador de domínio tentou validar as credenciais de uma conta (NTLM)
- 5136: um objeto de serviço de diretório foi alterado
- 7045: novo serviço instalado
- 8004: autenticação NTLM
Para obter mais informações, confira Configurar auditoria NTLM e Configurar auditoria de objetos de domínio.
Coleta de eventos para sensores autônomos
Se você estiver trabalhando com um sensor autônomo do Defender para Identidade, configure a coleta de eventos manualmente usando um dos seguintes métodos:
- Ouça eventos SIEM no sensor autônomo do Defender para Identidade. O Defender para Identidade oferece suporte ao tráfego UDP do seu servidor SIEM ou syslog.
- Configurar o encaminhamento de eventos do Windows para o sensor autônomo do Defender para Identidade
Cuidado
Ao encaminhar dados do syslog para um sensor autônomo, certifique-se de não encaminhar todos dados do syslog para o sensor.
Importante
Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.
Para obter mais informações, confira a documentação de produto para servidor de syslog ou SIEM.