Windows olay günlükleri için denetim ilkelerini yapılandırma
Algılamaları geliştirmek ve NTLM oturum açma işlemleri ve güvenlik grubu değişiklikleri gibi kullanıcı eylemleri hakkında daha fazla bilgi toplamak Kimlik için Microsoft Defender Windows olay günlüklerindeki belirli girdilere dayanır. Etki alanı denetleyicilerinizde Gelişmiş Denetim İlkesi ayarlarının düzgün yapılandırılması, olay günlüklerindeki boşluklardan ve Kimlik için Defender kapsamının tamamlanmamış olmasından kaçınmak için çok önemlidir.
Bu makalede, Kimlik için Defender algılayıcısı için Gelişmiş Denetim İlkesi ayarlarınızın gerektiği şekilde nasıl yapılandırıldığı açıklanır. Ayrıca belirli olay türleri için diğer yapılandırmaları da açıklar.
Kimlik için Defender, algılanırsa bu senaryoların her biri için sistem durumu sorunları oluşturur. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender sistem durumu sorunları.
Önkoşullar
- Kimlik için Defender PowerShell komutlarını çalıştırmadan önce Kimlik için Defender PowerShell modülünü indirdiğinizden emin olun.
PowerShell aracılığıyla geçerli yapılandırmaların raporunu oluşturma
Yeni olay ve denetim ilkeleri oluşturmaya başlamadan önce, geçerli etki alanı yapılandırmalarınızın raporunu oluşturmak için aşağıdaki PowerShell komutunu çalıştırmanızı öneririz:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Yukarıdaki komutta:
-
Path
raporların kaydedilecek yolu belirtir. -
Mode
veya modunu kullanmakDomain
LocalMachine
isteyip istemediğinizi belirtir. ModdaDomain
, ayarlar grup ilkesi nesnelerinden (GPO' lar) toplanır. ModdaLocalMachine
, ayarlar yerel makineden toplanır. -
OpenHtmlReport
rapor oluşturulduktan sonra HTML raporunu açar.
Örneğin, bir rapor oluşturmak ve bunu varsayılan tarayıcınızda açmak için aşağıdaki komutu çalıştırın:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Daha fazla bilgi için bkz. DefenderforIdentity PowerShell başvurusu.
İpucu
Mod Domain
raporu yalnızca etki alanında grup ilkeleri olarak ayarlanan yapılandırmaları içerir. Etki alanı denetleyicilerinizde yerel olarak tanımlanmış ayarlarınız varsa ,Test-MdiReadiness.ps1 betiğini de çalıştırmanızı öneririz.
Etki alanı denetleyicileri için denetimi yapılandırma
Gelişmiş Denetim İlkesi ayarlarınızı ve kullanıcılar, gruplar, bilgisayarlar ve daha fazlası gibi belirli olaylar ve olay türleri için ek yapılandırmaları güncelleştirin. Etki alanı denetleyicileri için denetim yapılandırmaları şunlardır:
- Gelişmiş Denetim İlkesi ayarları
- NTLM denetimi
- Etki alanı nesnesi denetimi
Daha fazla bilgi için bkz . Gelişmiş güvenlik denetimi SSS.
Kimlik için Defender ile kullandığınız etki alanı denetleyicilerinde denetimi yapılandırmak için aşağıdaki yordamları kullanın.
Kullanıcı arabiriminden Gelişmiş Denetim İlkesi ayarlarını yapılandırma
Bu yordamda, kullanıcı arabirimi aracılığıyla Kimlik için Defender için gerektiğinde etki alanı denetleyicinizin Gelişmiş Denetim İlkesi ayarlarının nasıl değiştirileceği açıklanır.
İlgili sistem durumu sorunu:Dizin Hizmetleri Gelişmiş Denetimi gerektiği gibi etkinleştirilmedi
Gelişmiş Denetim İlkesi ayarlarınızı yapılandırmak için:
Sunucuda Etki Alanı Yöneticisi olarak oturum açın.
Sunucu Yöneticisi Tools>grup ilkesi Management'tan grup ilkesi Yönetim Düzenleyici> açın.
Etki Alanı Denetleyicileri Kuruluş Birimleri'ni genişletin, Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve düzenle'yi seçin.
Not
Bu ilkeleri ayarlamak için Varsayılan Etki Alanı Denetleyicileri ilkesini veya ayrılmış bir GPO'yı kullanın.
Açılan pencerede Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları'na gidin. Etkinleştirmek istediğiniz ilkeye bağlı olarak aşağıdakileri yapın:
Gelişmiş Denetim İlkesi Yapılandırma>Denetim İlkeleri'ne gidin.
Denetim İlkeleri'nin altında aşağıdaki ilkelerin her birini düzenleyin ve Hem Başarı hem de Başarısızlıkolayları için aşağıdaki denetim olaylarını yapılandır'ı seçin.
Denetim ilkesi Alt kategori Olay kimliklerini tetikler Hesap Oturumu Açma Kimlik Bilgisi Doğrulamayı Denetle 4776 Hesap Yönetimi Bilgisayar Hesabı Yönetimini Denetleme* 4741, 4743 Hesap Yönetimi Dağıtım Grubu Yönetimini Denetleme* 4753, 4763 Hesap Yönetimi Güvenlik Grubu Yönetimini Denetleme* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Hesap Yönetimi Kullanıcı Hesabı Yönetimini Denetleme 4726 DS Erişimi Dizin Hizmeti Değişikliklerini Denetleme* 5136 Sistem Güvenlik Sistemi Uzantısını Denetle* 7045 DS Erişimi Dizin Hizmeti Erişimini Denetleme 4662 - Bu olay için etki alanı nesnesi denetimini de yapılandırmanız gerekir. Not
* Not edilen alt kategoriler hata olaylarını desteklemez. Ancak, gelecekte uygulanmaları durumunda bunları denetim amacıyla eklemenizi öneririz. Daha fazla bilgi için bkz . Bilgisayar Hesabı Yönetimini Denetleme, Güvenlik Grubu Yönetimini Denetleme ve Güvenlik Sistemi Uzantısını Denetleme.
Örneğin, Denetim Güvenlik Grubu Yönetimi'ni yapılandırmak için Hesap Yönetimi'nin altında Güvenlik Grubu Yönetimini Denetle'ye çift tıklayın ve ardından Hem Başarı hem de Hataolayları için aşağıdaki denetim olaylarını yapılandır'ı seçin.
Yükseltilmiş bir komut isteminden girin
gpupdate
.İlkeyi GPO aracılığıyla uyguladıktan sonra, yeni olayların windows günlük güvenliği> altındaki Olay Görüntüleyicisi görünmesine uygunolun.
Denetim ilkelerinizi komut satırından test etmek için aşağıdaki komutu çalıştırın:
auditpol.exe /get /category:*
Daha fazla bilgi için auditpol başvuru belgelerine bakın.
PowerShell kullanarak Gelişmiş Denetim İlkesi ayarlarını yapılandırma
Aşağıdaki eylemler, PowerShell kullanarak Kimlik için Defender için gerektiğinde etki alanı denetleyicinizin Gelişmiş Denetim İlkesi ayarlarının nasıl değiştirileceği açıklanmaktadır.
İlgili sistem durumu sorunu:Dizin Hizmetleri Gelişmiş Denetimi gerektiği gibi etkinleştirilmedi
Ayarlarınızı yapılandırmak için şunu çalıştırın:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Yukarıdaki komutta:
-
Mode
veya modunu kullanmakDomain
LocalMachine
isteyip istemediğinizi belirtir. ModdaDomain
, ayarlar grup ilkesi nesnelerinden toplanır. ModdaLocalMachine
, ayarlar yerel makineden toplanır. -
Configuration
ayarlanacağı yapılandırmayı belirtir. Tüm yapılandırmaları ayarlamak için kullanınAll
. -
CreateGpoDisabled
GPO'ların oluşturulup oluşturulmayıp devre dışı olarak tutulup tutulmadığını belirtir. -
SkipGpoLink
GPO bağlantılarının oluşturulmadığını belirtir. -
Force
yapılandırmanın ayarlandığını veya GPO'ların geçerli durum doğrulanmadan oluşturulduğunu belirtir.
Denetim ilkelerinizi görüntülemek için komutunu kullanarak Get-MDIConfiguration
geçerli değerleri gösterin:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Yukarıdaki komutta:
-
Mode
veya modunu kullanmakDomain
LocalMachine
isteyip istemediğinizi belirtir. ModdaDomain
, ayarlar grup ilkesi nesnelerinden toplanır. ModdaLocalMachine
, ayarlar yerel makineden toplanır. -
Configuration
alınacak yapılandırmayı belirtir. Tüm yapılandırmaları almak için kullanınAll
.
Denetim ilkelerinizi test etmek için komutunu kullanarak değerlerin Test-MDIConfiguration
doğru yapılandırılıp yapılandırılmadığına ilişkin bir true
veya false
yanıt alın:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Yukarıdaki komutta:
-
Mode
veya modunu kullanmakDomain
LocalMachine
isteyip istemediğinizi belirtir. ModdaDomain
, ayarlar grup ilkesi nesnelerinden toplanır. ModdaLocalMachine
, ayarlar yerel makineden toplanır. -
Configuration
test etmek istediğiniz yapılandırmayı belirtir. Tüm yapılandırmaları test etmek için kullanınAll
.
Daha fazla bilgi için aşağıdaki DefenderForIdentity PowerShell başvurularına bakın:
NTLM denetimini yapılandırma
Bu bölümde, Windows olay 8004'i denetlemek için ihtiyacınız olan ek yapılandırma adımları açıklanmaktadır.
Not
- Windows olayı 8004'i toplamak için etki alanı grubu ilkeleri yalnızca etki alanı denetleyicilerine uygulanmalıdır.
- Kimlik için Defender algılayıcısı Windows olay 8004'i ayrıştırdığında, Kimlik için Defender NTLM kimlik doğrulama etkinlikleri sunucu tarafından erişilen verilerle zenginleştirilmiştir.
İlgili sistem durumu sorunu:NTLM Denetimi etkinleştirilmedi
NTLM denetimini yapılandırmak için:
İlk Gelişmiş Denetim İlkesi ayarlarınızı yapılandırdıktan sonra (kullanıcı arabirimi veya PowerShell aracılığıyla), grup ilkesi Yönetimi'ni açın. Ardından Varsayılan Etki Alanı Denetleyicileri İlkesi>Yerel İlkeler>Güvenlik Seçenekleri'ne gidin.
Belirtilen güvenlik ilkelerini aşağıdaki gibi yapılandırın:
Güvenlik ilkesi ayarı Değer Ağ güvenliği: NTLM'yi kısıtlama: Uzak sunuculara giden NTLM trafiği Tümünü denetle Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulamasını denetle Tümünü etkinleştir Ağ güvenliği: NTLM'i kısıtlama: Gelen NTLM Trafiğini Denetleme Tüm hesaplar için denetimi etkinleştirme
Örneğin, Uzak sunuculara giden NTLM trafiğini yapılandırmak için, Güvenlik Seçenekleri'nin altında Ağ güvenliği: NTLM: Uzak sunuculara giden NTLM trafiğini kısıtla'ya çift tıklayın ve ardından Tümünü denetle'yi seçin.
Etki alanı nesne denetimini yapılandırma
Olay 4662 gibi nesne değişikliklerine yönelik olayları toplamak için kullanıcı, grup, bilgisayar ve diğer nesneler üzerinde nesne denetimini de yapılandırmanız gerekir. Aşağıdaki yordamda Active Directory etki alanında denetimin nasıl etkinleştirileceği açıklanmaktadır.
Önemli
Etki alanı denetleyicilerinin gerekli olayları kaydedecek şekilde düzgün yapılandırıldığından emin olmak için olay toplamayı etkinleştirmeden önce ilkelerinizi ( kullanıcı arabirimi veya PowerShell aracılığıyla) gözden geçirin ve denetleyin. Bu denetim düzgün yapılandırıldıysa, sunucu performansı üzerinde en az etkiye sahip olmalıdır.
İlgili sistem durumu sorunu:Dizin Hizmetleri Nesne Denetimi gerektiği gibi etkinleştirilmedi
Etki alanı nesne denetimini yapılandırmak için:
Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin.
Denetlemek istediğiniz etki alanını seçin.
Görünüm menüsünü ve ardından Gelişmiş Özellikler'i seçin.
Etki alanına sağ tıklayın ve Özellikler'i seçin.
Güvenlik sekmesine gidin ve Gelişmiş'i seçin.
Gelişmiş Güvenlik Ayarları'ndaDenetim sekmesini ve ardından Ekle'yi seçin.
Sorumlu seçin'i seçin.
Seçecek nesne adını girin alanına Herkes yazın. Ardından Adları> DenetleTamam'ı seçin.
Ardından Denetim Girdisi'ne dönersiniz. Aşağıdaki seçimleri yapın:
Tür için Başarılı'yı seçin.
Uygulandığı yer içinAlt Kullanıcı nesneleri'ne tıklayın.
İzinler'in altında aşağı kaydırın ve Tümünü temizle düğmesini seçin.
Ekranı yukarı kaydırın ve Tam Denetim'i seçin. Tüm izinler seçilir.
Liste içeriği, Tüm özellikleri oku ve okuma izinleri izinlerinin seçimini kaldırın ve ardından Tamam'ı seçin. Bu adım, tüm Özellikler ayarlarını Yazma olarak ayarlar.
Artık dizin hizmetlerinde yapılan tüm ilgili değişiklikler tetiklendiğinde 4662 olay olarak görünür.
Bu yordamdaki adımları yineleyin, ancak Uygulandığı yer için aşağıdaki nesne türlerini seçin:
- Alt Grup Nesneleri
- Alt Bilgisayar Nesneleri
- Descendant msDS-GroupManagedServiceAccount Nesneleri
- Descendant msDS-ManagedServiceAccount Nesneleri
Not
Tüm alt nesnelerde denetim izinlerini atamak da işe yarayacaktı, ancak yalnızca son adımda ayrıntılı olarak belirtilen nesne türlerine ihtiyacınız var.
AD FS'de denetimi yapılandırma
İlgili sistem durumu sorunu:AD FS kapsayıcısı üzerinde denetim gerektiği gibi etkinleştirilmedi
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) üzerinde denetimi yapılandırmak için:
Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin ve günlükleri etkinleştirmek istediğiniz etki alanını seçin.
Program Data>Microsoft ADFS'ye> gidin.
ADFS'ye sağ tıklayın ve Özellikler'i seçin.
Güvenlik sekmesine gidin ve Gelişmiş>Gelişmiş Güvenlik Ayarları'nı seçin. Ardından Denetim sekmesine gidin veSorumlu seçekle'yi> seçin.
Seçecek nesne adını girin alanına Herkes yazın. Ardından Adları> DenetleTamam'ı seçin.
Ardından Denetim Girdisi'ne dönersiniz. Aşağıdaki seçimleri yapın:
- Tür için Tümü'nü seçin.
- Uygulanacağı yer içinBu nesne ve tüm alt nesneler'i seçin.
- İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Ekranı yukarı kaydırın ve Tüm özellikleri oku ve Tüm özellikleri yaz'ı seçin.
Tamam'ı seçin.
AD FS olayları için Ayrıntılı günlük kaydını yapılandırma
AD FS sunucularında çalışan algılayıcıların ilgili olaylar için denetim düzeyi Ayrıntılı olarak ayarlanmalıdır. Örneğin, denetim düzeyini Ayrıntılı olarak yapılandırmak için aşağıdaki komutu kullanın:
Set-AdfsProperties -AuditLevel Verbose
AD CS'de denetimi yapılandırma
Active Directory Sertifika Hizmetleri (AD CS) yapılandırılmış ayrılmış bir sunucuyla çalışıyorsanız, ayrılmış uyarıları ve Güvenli Puan raporlarını görüntülemek için denetimi aşağıdaki gibi yapılandırın:
AD CS sunucunuza uygulanacak bir grup ilkesi oluşturun. Düzenleyin ve aşağıdaki denetim ayarlarını yapılandırın:
Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Sertifika Hizmetleri'ne gidin.
Denetim olaylarını Başarılı ve Başarısız olarak yapılandırmak için onay kutularını seçin.
Aşağıdaki yöntemlerden birini kullanarak sertifika yetkilisi (CA) üzerinde denetimi yapılandırın:
KOMUT satırını kullanarak CA denetimini yapılandırmak için şunu çalıştırın:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
GUI kullanarak CA denetimini yapılandırmak için:
Sertifika Yetkilisini Başlat>(MMC Masaüstü uygulaması)'ı seçin. CA'nızın adına sağ tıklayın ve Özellikler'i seçin.
Denetim sekmesini seçin, denetlemek istediğiniz tüm olayları seçin ve ardından Uygula'yı seçin.
Not
Active Directory Sertifika Hizmetlerini Başlat ve Durdur olay denetiminin yapılandırılması, büyük bir AD CS veritabanıyla ilgilenirken yeniden başlatma gecikmelerine neden olabilir. Veritabanından ilgisiz girdileri kaldırmayı göz önünde bulundurun. Alternatif olarak, bu özel olay türünü etkinleştirmekten kaçınabilirsiniz.
Microsoft Entra Connect'te denetimi yapılandırma
Microsoft Entra Connect sunucularında denetimi yapılandırmak için:
Microsoft Entra Connect sunucularınıza uygulanacak bir grup ilkesi oluşturun. Düzenleyin ve aşağıdaki denetim ayarlarını yapılandırın:
Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Oturum Açma/Kapatma\Oturum Açmayı Denetle'ye gidin.
Denetim olaylarını Başarılı ve Başarısız olarak yapılandırmak için onay kutularını seçin.
Yapılandırma kapsayıcısı üzerinde denetimi yapılandırma
Not
Yapılandırma kapsayıcısı denetimi yalnızca şu anda Microsoft Exchange'e sahip olan veya daha önce Microsoft Exchange'e sahip olan ortamlar için geçerlidir çünkü bu ortamlar etki alanının Yapılandırma bölümünde bulunan bir Exchange kapsayıcısı vardır.
İlgili sistem durumu sorunu:Yapılandırma kapsayıcısı üzerinde denetim gerektiği gibi etkinleştirilmedi
ADSI Düzenleme aracını açın. ÇalıştırmayıBaşlat'ı> seçin, yazın
ADSIEdit.msc
ve tamam'ı seçin.Eylem menüsünde Bağlan'ı seçin.
Bağlantı Ayarları iletişim kutusundaki İyi bilinen bir Adlandırma Bağlamı seçin altında Yapılandırma>Tamam'ı seçin.
"CN=Configuration,DC=..." ile başlayan Yapılandırma düğümünü göstermek için Yapılandırma kapsayıcısını genişletin.
Yapılandırma düğümüne sağ tıklayın ve Özellikler'i seçin.
Güvenlik sekmesini ve ardından Gelişmiş'i seçin.
Gelişmiş Güvenlik Ayarları'ndaDenetim sekmesini ve ardından Ekle'yi seçin.
Sorumlu seçin'i seçin.
Seçecek nesne adını girin alanına Herkes yazın. Ardından Adları> DenetleTamam'ı seçin.
Ardından Denetim Girdisi'ne dönersiniz. Aşağıdaki seçimleri yapın:
- Tür için Tümü'nü seçin.
- Uygulanacağı yer içinBu nesne ve tüm alt nesneler'i seçin.
- İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Ekranı yukarı kaydırın ve Tüm özellikleri yaz'ı seçin.
Tamam'ı seçin.
Eski yapılandırmaları güncelleştirme
Kimlik için Defender artık 1644 olaylarının günlüğe kaydedilmesini gerektirmez. Aşağıdaki ayarlardan birini etkinleştirdiyseniz, bunları kayıt defterinden kaldırabilirsiniz.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
İlgili içerik
Daha fazla bilgi için bkz.:
- Kimlik için Microsoft Defender ile olay koleksiyonu
- Windows güvenlik denetimi
- Gelişmiş güvenlik denetim ilkeleri