Поделиться через

Коллекция событий с Microsoft Defender для удостоверений

  • Статья

Датчик Microsoft Defender для удостоверений настроен для автоматического сбора событий системного журнала. Для событий Windows Обнаружение удостоверений Defender для идентификации зависит от определенных журналов событий, которые датчик анализирует с контроллеров домена.

Коллекция событий для контроллеров домена и серверов AD FS / AD CS

Чтобы правильные события были проверены и включены в журнал событий Windows, контроллеры домена или серверы AD FS / AD CS требуют точных параметров политики расширенного аудита.

Дополнительные сведения см. в разделе "Настройка политик аудита для журналов событий Windows".

Ссылка на необходимые события

В этом разделе перечислены события Windows, необходимые датчику Defender для удостоверений, при установке на серверах AD FS или AD CS или на контроллерах домена.

Обязательные события службы федерации Active Directory (AD FS) (AD FS)

Для серверов службы федерации Active Directory (AD FS) (AD FS) требуются следующие события:

  • 1202 — служба федерации проверила новые учетные данные
  • 1203— служба федерации не смогла проверить новые учетные данные.
  • 4624 — учетная запись успешно вошли в систему.
  • 4625 — не удалось войти в учетную запись

Дополнительные сведения см. в разделе "Настройка аудита в службы федерации Active Directory (AD FS) (AD FS)".

Обязательные события служб сертификатов Active Directory (AD CS)

Для серверов служб сертификатов Active Directory (AD CS) требуются следующие события:

  • 4870: службы сертификатов отозвали сертификат
  • 4882: изменены разрешения безопасности для служб сертификатов
  • 4885: фильтр аудита для служб сертификатов изменен
  • 4887: службы сертификатов одобрили запрос на сертификат и выпустили сертификат
  • 4888: службы сертификатов отказано в запросе сертификата
  • 4890: параметры диспетчера сертификатов для служб сертификатов изменились.
  • 4896: одна или несколько строк были удалены из базы данных сертификатов

Дополнительные сведения см. в статье "Настройка аудита для служб сертификатов Active Directory (AD CS)".

Другие необходимые события Windows

Для всех датчиков Defender для удостоверений требуются следующие общие события Windows:

  • 4662 — операция была выполнена для объекта
  • 4726 — удаленная учетная запись пользователя
  • 4728 — участник, добавленный в глобальную группу безопасности
  • 4729 — член удален из глобальной группы безопасности
  • 4730 — удаленная глобальная группа безопасности
  • 4732 — участник, добавленный в локальную группу безопасности
  • 4733 — член удален из локальной группы безопасности
  • 4741 — добавлена учетная запись компьютера
  • 4743 — удаленная учетная запись компьютера
  • 4753 — удаленная глобальная группа рассылки
  • 4756 — участник, добавленный в универсальную группу безопасности
  • 4757 — член удален из универсальной группы безопасности
  • 4758 — удаленная универсальная группа безопасности
  • 4763 — удаленная универсальная группа рассылки
  • 4776 — контроллер домена пытается проверить учетные данные для учетной записи (NTLM)
  • 5136 — изменен объект службы каталогов
  • 7045 — установлена новая служба
  • 8004 — проверка подлинности NTLM

Дополнительные сведения см. в разделе "Настройка аудита NTLM" и "Настройка аудита объектов домена".

Коллекция событий для автономных датчиков

Если вы работаете с автономным датчиком Defender для удостоверений, настройте коллекцию событий вручную с помощью одного из следующих методов:

Внимание

При пересылке данных системного журнала на автономный датчик не перенаправьте все данные системного журнала на датчик.

Важно!

Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.

Дополнительные сведения см. в документации по продуктам сервера SIEM или syslog.

Следующий шаг

Настройка политик аудита для журналов событий Windows »