Händelsesamling med Microsoft Defender för identitet
En Microsoft Defender for Identity-sensor har konfigurerats för att automatiskt samla in syslog-händelser. För Windows-händelser förlitar sig Defender för identitetsidentifiering på specifika händelseloggar. Sensorn parsar dessa händelseloggar från dina domänkontrollanter.
Händelseinsamling för AD FS-servrar, AD CS-servrar, Microsoft Entra Connect-servrar och domänkontrollanter
För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver dina Active Directory Federation Services (AD FS)-servrar (AD FS), AD CS-servrar (Active Directory Certificate Services), Microsoft Entra Connect-servrar eller domänkontrollanter korrekta inställningar för avancerad granskningsprincip.
Mer information finns i Konfigurera granskningsprinciper för Windows-händelseloggar.
Referens till nödvändiga händelser
I det här avsnittet visas de Windows-händelser som Defender for Identity-sensorn kräver när den är installerad på AD FS-servrar, AD CS-servrar, Microsoft Entra Connect-servrar eller domänkontrollanter.
Nödvändiga AD FS-händelser
Följande händelser krävs för AD FS-servrar:
- 1202: Federationstjänsten verifierade en ny autentiseringsuppgift
- 1203: Federationstjänsten kunde inte verifiera en ny autentiseringsuppgift
- 4624: Ett konto har loggats in
- 4625: Det gick inte att logga in på ett konto
Mer information finns i Konfigurera granskning på Active Directory Federation Services (AD FS).
Nödvändiga AD CS-händelser
Följande händelser krävs för AD CS-servrar:
- 4870: Certifikattjänster återkallade ett certifikat
- 4882: Säkerhetsbehörigheterna för Certificate Services har ändrats
- 4885: Granskningsfiltret för Certificate Services har ändrats
- 4887: Certificate Services godkände en certifikatbegäran och utfärdade ett certifikat
- 4888: Certifikattjänster nekade en certifikatbegäran
- 4890: Inställningarna för certifikathanteraren för Certificate Services har ändrats
- 4896: En eller flera rader har tagits bort från certifikatdatabasen
Mer information finns i Konfigurera granskning för Active Directory Certificate Services.
Nödvändiga Microsoft Entra Connect-händelser
Följande händelse krävs för Microsoft Entra Connect-servrar:
- 4624: Ett konto har loggats in
Mer information finns i Konfigurera granskning på Microsoft Entra Connect.
Andra nödvändiga Windows-händelser
Följande allmänna Windows-händelser krävs för alla Defender för identitetssensorer:
- 4662: En åtgärd utfördes på ett objekt
- 4726: Användarkontot har tagits bort
- 4728: Medlem tillagd i global säkerhetsgrupp
- 4729: Medlem borttagen från global säkerhetsgrupp
- 4730: Global säkerhetsgrupp har tagits bort
- 4732: Medlem tillagd i lokal säkerhetsgrupp
- 4733: Medlem borttagen från lokal säkerhetsgrupp
- 4741: Datorkontot har lagts till
- 4743: Datorkontot har tagits bort
- 4753: Global distributionsgrupp har tagits bort
- 4756: Medlem tillagd i universell säkerhetsgrupp
- 4757: Medlem borttagen från universell säkerhetsgrupp
- 4758: Universell säkerhetsgrupp har tagits bort
- 4763: Universell distributionsgrupp har tagits bort
- 4776: Domänkontrollant försökte verifiera autentiseringsuppgifter för ett konto (NTLM)
- 5136: Ett katalogtjänstobjekt ändrades
- 7045: Ny tjänst installerad
- 8004: NTLM-autentisering
Mer information finns i Konfigurera NTLM-granskning och Konfigurera granskning av domänobjekt.
Händelsesamling för fristående sensorer
Om du arbetar med en fristående Defender for Identity-sensor konfigurerar du händelsesamlingen manuellt med någon av följande metoder:
- Lyssna efter siem-händelser (säkerhetsinformation och händelsehantering) på din fristående Defender for Identity-sensor. Defender for Identity stöder UDP-trafik (User Datagram Protocol) från DITT SIEM-system eller din syslog-server.
- Konfigurera vidarebefordran av Windows-händelser till din fristående Defender for Identity-sensor. När du vidarebefordrar syslog-data till en fristående sensor ser du till att inte vidarebefordra alla syslog-data till sensorn.
Viktigt!
Fristående sensorer i Defender för identitet stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.
Mer information finns i produktdokumentationen för DITT SIEM-system eller din syslog-server.