Configurar políticas de auditoria para logs de eventos do Windows

  • Artigo

O Microsoft Defender for Identity detection depende de entradas específicas do log de eventos do Windows para aprimorar as deteções e fornecer informações adicionais sobre os usuários que executaram ações específicas, como logons NTLM e modificações de grupos de segurança.

Para que os eventos corretos sejam auditados e incluídos no Log de Eventos do Windows, os controladores de domínio exigem configurações específicas da Diretiva de Auditoria Avançada do servidor Windows. Configurações incorretas da Política de Auditoria Avançada podem causar lacunas no Log de Eventos e cobertura incompleta do Defender for Identity.

Este artigo descreve como definir as configurações da Política de Auditoria Avançada conforme necessário para um sensor do Defender for Identity e outras configurações para tipos de eventos específicos.

Para obter mais informações, consulte O que é a coleta de eventos do Windows para o Defender for Identity e Políticas avançadas de auditoria de segurança na documentação do Windows.

Gerar um relatório com as configurações atuais via PowerShell

Pré-requisitos: Antes de executar os comandos do Defender for Identity PowerShell, certifique-se de que baixou o módulo do Defender for Identity PowerShell.

Antes de começar a criar novas políticas de evento e auditoria, recomendamos que você execute o seguinte comando do PowerShell para gerar um relatório de suas configurações de domínio atuais:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Em que:

  • Path especifica o caminho para salvar os relatórios em
  • Mode especifica se você deseja usar o modo Domain ou LocalMachine . No modo de domínio, as configurações são coletadas dos objetos de Diretiva de Grupo. No modo LocalMachine , as configurações são coletadas da máquina local.
  • OpenHtmlReport abre o relatório HTML depois que o relatório é gerado

Por exemplo, para gerar um relatório e abri-lo em seu navegador padrão, execute o seguinte comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obter mais informações, consulte a referência do PowerShell DefenderforIdentity.

Gorjeta

O Domain relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se você tiver configurações definidas localmente em seus controladores de domínio, recomendamos que você também execute o script Test-MdiReadiness.ps1 .

Configurar auditoria para controladores de domínio

Ao trabalhar com um controlador de domínio, você precisa atualizar suas configurações de Diretiva de Auditoria Avançada e configurações extras para eventos e tipos de eventos específicos, como usuários, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:

Definir configurações de Política de Auditoria Avançada

Este procedimento descreve como modificar as Políticas de Auditoria Avançadas do controlador de domínio conforme necessário para o Defender for Identity.

  1. Inicie sessão no servidor como Administrador de Domínio.

  2. Abra o Editor de Gerenciamento de Diretiva de Grupo em Gerenciamento de Diretiva de Grupo das Ferramentas>do Gerenciador de Servidores.>

  3. Expanda as Unidades Organizacionais de Controladores de Domínio, clique com o botão direito do mouse em Diretiva de Controladores de Domínio Padrão e selecione Editar. Por exemplo:

    Screenshot of the Edit domain controller policy dialog.

    Nota

    Use a Diretiva de Controladores de Domínio Padrão ou um GPO dedicado para definir essas políticas.

  4. Na janela que se abre, aceda a Políticas>de Configuração do Computador Definições do>Windows Definições> de Segurança e, dependendo da política que pretende ativar, faça o seguinte:

    1. Vá para Advanced Audit Policy Configuration>Audit Policies. Por exemplo:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar os seguintes eventos de auditoria para eventos de Êxito e Falha.

      Política de auditoria Subcategoria Aciona IDs de evento
      Logon de conta Auditar validação de credenciais 4776
      Gestão de Contas Auditar a Gestão de Contas Informáticas * 4741, 4743
      Gestão de Contas Auditar gestão de grupo de distribuição 4753, 4763
      Gestão de Contas Gestão do Grupo de Segurança de Auditoria * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestão de Contas Auditar gestão de conta de utilizadores 4726
      Acesso DS Auditar alterações de serviços de diretório 5136
      Sistema Extensão do Sistema de Segurança de Auditoria * 7045
      Acesso DS Auditar acesso a serviços de diretório 4662 - Para este evento, você também deve configurar a auditoria de objeto de domínio.

      Nota

      * As subcategorias observadas não suportam eventos de falha. No entanto, recomendamos adicioná-los para fins de auditoria, caso sejam implementados no futuro. Para obter mais informações, consulte Auditar gerenciamento de conta de computador, Auditar gerenciamento de grupo de segurança e Auditar extensão do sistema de segurança.

      Por exemplo, para configurar o Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Contas, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e selecione Configurar os seguintes eventos de auditoria para eventos de Êxito e Falha:

      Screenshot of the Audit Security Group Management dialog.

  5. Em um prompt de comando elevado, digite gpupdate.

  6. Depois de aplicar a política via GPO, os novos eventos ficam visíveis no Visualizador de Eventos, em Logs do Windows ->Segurança.

Testar políticas de auditoria a partir da linha de comando

Para testar suas políticas de auditoria a partir da linha de comando, execute o seguinte comando:

auditpol.exe /get /category:*

Para obter mais informações, consulte a documentação de referência auditpol.

Configurar, obter e testar políticas de auditoria usando o PowerShell

Para configurar políticas de auditoria usando o PowerShell, execute o seguinte comando:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Em que:

  • Mode especifica se você deseja usar o modo Domain ou LocalMachine . No modo de domínio, as configurações são coletadas dos objetos de Diretiva de Grupo. No modo LocalMachine , as configurações são coletadas da máquina local.

  • Configuração especifica qual configuração definir. Use All para definir todas as configurações.

  • CreateGpoDisabled especifica se os GPOs são criados e mantidos como desabilitados.

  • SkipGpoLink especifica que os links de GPO não são criados.

  • Force especifica que a configuração é definida ou que os GPOs são criados sem validar o estado atual.

Para exibir ou testar suas políticas de auditoria usando o PowerShell, execute os seguintes comandos conforme necessário. Use o comando Get-MDIConfiguration para mostrar os valores atuais. Use o comando Test-MDIConfiguration para obter uma true resposta ou false sobre se os valores estão configurados corretamente.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Em que:

  • Mode especifica se você deseja usar o modo Domain ou LocalMachine . No modo de domínio, as configurações são coletadas dos objetos de Diretiva de Grupo. No modo LocalMachine , as configurações são coletadas da máquina local.

  • A configuração especifica qual configuração obter. Use All para obter todas as configurações.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Em que:

  • Mode especifica se você deseja usar o modo Domain ou LocalMachine . No modo de domínio, as configurações são coletadas dos objetos de Diretiva de Grupo. No modo LocalMachine , as configurações são coletadas da máquina local.

  • Configuração especifica qual configuração testar. Use All para testar todas as configurações.

Para obter mais informações, consulte as seguintes referências do PowerShell DefenderForIdentity:

Configurar auditoria NTLM

Esta seção descreve as etapas de configuração adicionais necessárias para auditar a ID de Evento 8004.

Nota

  • As diretivas de grupo de domínio para coletar o Evento 8004 do Windows só devem ser aplicadas a controladores de domínio.
  • Quando o Evento 8004 do Windows é analisado pelo Defender for Identity Sensor, as atividades de autenticação NTLM do Defender for Identity são enriquecidas com os dados acessados pelo servidor.

  1. Seguindo as etapas iniciais, abra o Gerenciamento de Diretiva de Grupo e vá para as Opções de Segurança de Políticas>Locais da Diretiva>de Controladores de Domínio Padrão.

  2. Em Opções de Segurança, configure as políticas de segurança especificadas da seguinte forma:

    Configuração de política de segurança valor
    Segurança de rede: Restringir NTLM: tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: Auditar a autenticação NTLM neste domínio Ativar tudo
    Segurança de rede: Restringir NTLM: auditar o tráfego NTLM de entrada Habilitar auditoria para todas as contas

Por exemplo, para configurar o tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: Restringir NTLM: tráfego NTLM de saída para servidores remotos e selecione Auditar tudo:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Configurar auditoria de objeto de domínio

Para coletar eventos para alterações de objeto, como o evento 4662, você também deve configurar a auditoria de objetos no usuário, grupo, computador e outros objetos. Este procedimento descreve como habilitar a auditoria no domínio do Ative Directory.

Importante

Certifique-se de revisar e verificar suas políticas de auditoria antes de habilitar a coleta de eventos para garantir que os controladores de domínio estejam configurados corretamente para registrar os eventos necessários. Se configurada corretamente, essa auditoria deve ter um efeito mínimo no desempenho do servidor.

  1. Vá para o console Usuários e Computadores do Ative Directory.

  2. Selecione o domínio que deseja auditar.

  3. Selecione o menu Exibir e selecione Recursos avançados.

  4. Clique com o botão direito do mouse no domínio e selecione Propriedades. Por exemplo:

    Screenshot of the container properties option.

  5. Vá para a guia Segurança e selecione Avançado. Por exemplo:

    Screenshot of the advanced security properties dialog.

  6. Em Configurações Avançadas de Segurança, selecione a guia Auditoria e, em seguida, selecione Adicionar. Por exemplo:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Selecione Selecionar uma entidade de segurança. Por exemplo:

    Screenshot of the Select a principal option.

  8. Em Digite o nome do objeto a ser selecionado, digite Todos e selecione Verificar nomes>OK. Por exemplo:

    Screenshot of the Select everyone settings.

  9. Em seguida, você retorna à Entrada de Auditoria. Selecione as opções seguintes:

    1. Em Tipo , selecione Sucesso.

    2. Em Aplica-se para selecionar Objetos de usuário descendente.

    3. Em Permissões, role para baixo e selecione o botão Limpar tudo . Por exemplo:

      Screenshot of selecting Clear all.

    4. Role para cima e selecione Controle total. Todas as permissões são selecionadas.

    5. Desmarque a seleção para as permissões Conteúdo da lista, Ler todas as propriedades e Permissões de leitura e selecione OK. Isso define todas as configurações de Propriedades como Gravação. Por exemplo:

      Screenshot of selecting permissions.

      Agora, quando acionado, todas as alterações relevantes nos serviços de diretório aparecem como 4662 eventos.

  10. Repita as etapas neste procedimento, mas para Aplica-se a, selecione os seguintes tipos de objeto:

    • Objetos de grupo descendentes
    • Objetos de computador descendentes
    • Objetos msDS-GroupManagedServiceAccount descendentes
    • Objetos msDS-ManagedServiceAccount descendentes

Nota

Atribuir as permissões de auditoria em Todos os objetos descendentes também funcionaria, mas exigimos apenas os tipos de objeto conforme detalhado na última etapa.

Configurar a auditoria em um AD FS (Serviços de Federação do Ative Directory)

  1. Vá para o console Usuários e Computadores do Ative Directory e selecione o domínio que deseja habilitar os logons.

  2. Vá para Dados do>Programa Microsoft>ADFS. Por exemplo:

    Screenshot of an ADFS container.

  3. Clique com o botão direito do mouse em ADFS e selecione Propriedades.

  4. Vá para a guia Segurança e selecione >a >guia> Configurações avançadas de segurança Auditoria Adicionar Selecione>uma entidade de segurança.

  5. Em Digite o nome do objeto a ser selecionado, digite Todos.

  6. Selecione Verificar nomes>OK.

  7. Em seguida, você retorna à Entrada de Auditoria. Selecione as opções seguintes:

    • Em Tipo , selecione Tudo.
    • Em Aplica-se para selecionar Este objeto e todos os objetos descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.

    Por exemplo:

    Screenshot of the auditing settings for ADFS.

  8. Selecione OK.

Configurar auditoria para os Serviços de Certificados do Ative Directory (AD CS)

Se estiver a trabalhar com um servidor dedicado com os Serviços de Certificados do Ative Directory (AD CS) configurados, certifique-se de que configura a auditoria da seguinte forma para ver alertas dedicados e relatórios de Pontuação Segura:

  1. Crie uma política de grupo para aplicar ao seu servidor AD CS. Edite-o e defina as seguintes configurações de auditoria:

    1. Vá para e selecione duas vezes Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Serviços de Certificação de Auditoria.

    2. Selecione esta opção para configurar eventos de auditoria para Êxito e Falha. Por exemplo:

      Screenshot of the Group Policy Management Editor.

  2. Configure a auditoria na autoridade de certificação (CA) usando um dos seguintes métodos:

    • Para configurar a auditoria de autoridade de certificação usando a linha de comando, execute:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Para configurar a auditoria de autoridade de certificação usando a GUI:

      1. Selecione Iniciar -> Autoridade de certificação (aplicativo MMC Desktop). Clique com o botão direito do mouse no nome da autoridade de certificação e selecione Propriedades. Por exemplo:

        Screenshot of the Certification Authority dialog.

      2. Selecione o separador Auditoria , selecione todos os eventos que pretende auditar e, em seguida, selecione Aplicar. Por exemplo:

        Screenshot of the Properties Auditing tab.

Nota

Configurar a auditoria de eventos Iniciar e Parar Serviços de Certificados do Ative Directory pode causar atrasos de reinicialização ao lidar com um grande banco de dados do AD CS. Considere remover entradas irrelevantes do banco de dados ou, alternativamente, abster-se de habilitar esse tipo específico de evento.

Configurar auditoria no contêiner de configuração

  1. Abra o ADSI Edit selecionando Iniciar>execução. Digite ADSIEdit.msc e selecione OK.

  2. No menu Ação, selecione Conectar-se a.

  3. Na caixa de diálogo Configurações de Conexão, em Selecione um Contexto de Nomenclatura bem conhecido, selecione Configuração>OK.

  4. Expanda o contêiner Configuração para mostrar o nó Configuração, começando com "CN=Configuration,DC=..."

  5. Clique com o botão direito do mouse no nó Configuração e selecione Propriedades. Por exemplo:

    Screenshot of the Configuration node properties.

  6. Selecione a guia >Segurança Avançado.

  7. Nas Configurações Avançadas de Segurança, selecione a guia >Auditoria Adicionar.

  8. Selecione Selecionar uma entidade de segurança.

  9. Em Digite o nome do objeto a ser selecionado, digite Todos e selecione Verificar nomes>OK.

  10. Em seguida, você retorna à Entrada de Auditoria. Selecione as opções seguintes:

    • Em Tipo , selecione Tudo.
    • Em Aplica-se para selecionar Este objeto e todos os objetos descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.

    Por exemplo:

    Screenshot of the auditing settings for the Configuration container.

  11. Selecione OK.

Configurações herdadas

Importante

O Defender for Identity não requer mais o registro de eventos 1644. Se tiver esta definição de registo ativada, pode removê-la.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Conteúdos relacionados

Para obter mais informações, consulte Auditoria de segurança do Windows.

Próximo passo

O que são funções e permissões do Defender for Identity? »