Recolha de eventos com o Microsoft Defender for Identity
O sensor Microsoft Defender for Identity está configurado para coletar automaticamente eventos syslog. Para eventos do Windows, a deteção do Defender for Identity depende de logs de eventos específicos, que o sensor analisa a partir dos controladores de domínio.
Recolha de eventos para controladores de domínio e servidores AD FS / AD CS
Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, seus controladores de domínio ou servidores AD FS / AD CS exigem configurações de diretiva de auditoria precisas e avançadas.
Para obter mais informações, consulte Configurar políticas de auditoria para logs de eventos do Windows.
Referência dos eventos necessários
Esta seção lista os eventos do Windows exigidos pelo sensor Defender for Identity, quando instalado em servidores AD FS / AD CS ou em controladores de domínio.
Eventos necessários dos Serviços de Federação do Ative Directory (AD FS)
Os seguintes eventos são necessários para servidores dos Serviços de Federação do Ative Directory (AD FS):
- 1202 - O Serviço de Federação validou uma nova credencial
- 1203 - O Serviço de Federação não conseguiu validar uma nova credencial
- 4624 - Uma conta foi conectada com sucesso
- 4625 - Falha ao iniciar sessão numa conta
Para obter mais informações, consulte Configurar a auditoria em um AD FS (Serviços de Federação do Ative Directory).
Eventos necessários dos Serviços de Certificados do Ative Directory (AD CS)
Os seguintes eventos são necessários para servidores dos Serviços de Certificados do Ative Directory (AD CS):
- 4870: Os Serviços de Certificados revogaram um certificado
- 4882: As permissões de segurança para os Serviços de Certificados foram alteradas
- 4885: O filtro de auditoria para Serviços de Certificados foi alterado
- 4887: Os Serviços de Certificados aprovaram um pedido de certificado e emitiram um certificado
- 4888: Serviços de certificados negaram uma solicitação de certificado
- 4890: As configurações do gerenciador de certificados para Serviços de Certificados foram alteradas.
- 4896: Uma ou mais linhas foram excluídas do banco de dados de certificados
Para obter mais informações, consulte Configurar a auditoria para os Serviços de Certificados do Ative Directory (AD CS).
Outros eventos necessários do Windows
Os seguintes eventos gerais do Windows são necessários para todos os sensores do Defender for Identity:
- 4662 - Foi realizada uma operação a um objeto
- 4726 - Conta de usuário excluída
- 4728 - Membro adicionado ao Grupo de Segurança Global
- 4729 - Membro removido do Grupo de Segurança Global
- 4730 - Grupo de Segurança Global Suprimido
- 4732 - Membro adicionado ao grupo de segurança local
- 4733 - Membro removido do grupo de segurança local
- 4741 - Conta de computador adicionada
- 4743 - Conta de computador excluída
- 4753 - Grupo de Distribuição Global Suprimido
- 4756 - Membro adicionado ao Universal Security Group
- 4757 - Membro removido do Universal Security Group
- 4758 - Universal Security Group excluído
- 4763 - Grupo de distribuição universal excluído
- 4776 - Controlador de domínio tentou validar credenciais para uma conta (NTLM)
- 5136 - Um objeto de serviço de diretório foi modificado
- 7045 - Novo serviço instalado
- 8004 - Autenticação NTLM
Para obter mais informações, consulte Configurar auditoria NTLM e Configurar auditoria de objeto de domínio.
Recolha de eventos para sensores autónomos
Se você estiver trabalhando com um sensor autônomo do Defender for Identity, configure a coleta de eventos manualmente usando um dos seguintes métodos:
- Ouça os eventos do SIEM no sensor autônomo do Defender for Identity. O Defender for Identity suporta tráfego UDP do seu servidor SIEM ou syslog.
- Configurar o encaminhamento de eventos do Windows para o sensor autônomo do Defender for Identity
Atenção
Ao encaminhar dados syslog para um sensor autônomo, certifique-se de não encaminhar todos os dados syslog para o sensor.
Importante
Os sensores autónomos do Defender for Identity não suportam a recolha de entradas de registo ETW (Event Tracing for Windows) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implantação do sensor Defender for Identity.
Para obter mais informações, consulte a documentação do produto do seu servidor SIEM ou syslog.