Aracılığıyla paylaş


Windows olay günlükleri için denetim ilkelerini yapılandırma

Algılamaları geliştirmek ve NTLM oturum açma işlemleri ve güvenlik grubu değişiklikleri gibi kullanıcı eylemleri hakkında daha fazla bilgi toplamak Kimlik için Microsoft Defender Windows olay günlüklerindeki belirli girdilere dayanır. Etki alanı denetleyicilerinizde Gelişmiş Denetim İlkesi ayarlarının düzgün yapılandırılması, olay günlüklerindeki boşluklardan ve Kimlik için Defender kapsamının tamamlanmamış olmasından kaçınmak için çok önemlidir.

Bu makalede, Kimlik için Defender algılayıcısı için Gelişmiş Denetim İlkesi ayarlarınızın gerektiği şekilde nasıl yapılandırıldığı açıklanır. Ayrıca belirli olay türleri için diğer yapılandırmaları da açıklar.

Kimlik için Defender, algılanırsa bu senaryoların her biri için sistem durumu sorunları oluşturur. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender sistem durumu sorunları.

Önkoşullar

PowerShell aracılığıyla geçerli yapılandırmaların raporunu oluşturma

Yeni olay ve denetim ilkeleri oluşturmaya başlamadan önce, geçerli etki alanı yapılandırmalarınızın raporunu oluşturmak için aşağıdaki PowerShell komutunu çalıştırmanızı öneririz:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Yukarıdaki komutta:

  • Path raporların kaydedilecek yolu belirtir.
  • Mode veya modunu kullanmak DomainLocalMachine isteyip istemediğinizi belirtir. ModdaDomain, ayarlar grup ilkesi nesnelerinden (GPO' lar) toplanır. Modda LocalMachine , ayarlar yerel makineden toplanır.
  • OpenHtmlReport rapor oluşturulduktan sonra HTML raporunu açar.

Örneğin, bir rapor oluşturmak ve bunu varsayılan tarayıcınızda açmak için aşağıdaki komutu çalıştırın:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Daha fazla bilgi için bkz. DefenderforIdentity PowerShell başvurusu.

İpucu

Mod Domain raporu yalnızca etki alanında grup ilkeleri olarak ayarlanan yapılandırmaları içerir. Etki alanı denetleyicilerinizde yerel olarak tanımlanmış ayarlarınız varsa ,Test-MdiReadiness.ps1 betiğini de çalıştırmanızı öneririz.

Etki alanı denetleyicileri için denetimi yapılandırma

Gelişmiş Denetim İlkesi ayarlarınızı ve kullanıcılar, gruplar, bilgisayarlar ve daha fazlası gibi belirli olaylar ve olay türleri için ek yapılandırmaları güncelleştirin. Etki alanı denetleyicileri için denetim yapılandırmaları şunlardır:

Daha fazla bilgi için bkz . Gelişmiş güvenlik denetimi SSS.

Kimlik için Defender ile kullandığınız etki alanı denetleyicilerinde denetimi yapılandırmak için aşağıdaki yordamları kullanın.

Kullanıcı arabiriminden Gelişmiş Denetim İlkesi ayarlarını yapılandırma

Bu yordamda, kullanıcı arabirimi aracılığıyla Kimlik için Defender için gerektiğinde etki alanı denetleyicinizin Gelişmiş Denetim İlkesi ayarlarının nasıl değiştirileceği açıklanır.

İlgili sistem durumu sorunu:Dizin Hizmetleri Gelişmiş Denetimi gerektiği gibi etkinleştirilmedi

Gelişmiş Denetim İlkesi ayarlarınızı yapılandırmak için:

  1. Sunucuda Etki Alanı Yöneticisi olarak oturum açın.

  2. Sunucu Yöneticisi Tools>grup ilkesi Management'tan grup ilkesi Yönetim Düzenleyici> açın.

  3. Etki Alanı Denetleyicileri Kuruluş Birimleri'ni genişletin, Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve düzenle'yi seçin.

    Etki alanı denetleyicileri için varsayılan ilkeyi düzenleme bölmesinin ekran görüntüsü.

    Not

    Bu ilkeleri ayarlamak için Varsayılan Etki Alanı Denetleyicileri ilkesini veya ayrılmış bir GPO'yı kullanın.

  4. Açılan pencerede Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları'na gidin. Etkinleştirmek istediğiniz ilkeye bağlı olarak aşağıdakileri yapın:

    1. Gelişmiş Denetim İlkesi Yapılandırma>Denetim İlkeleri'ne gidin.

      Denetim ilkelerini açmaya yönelik seçimlerin ekran görüntüsü.

    2. Denetim İlkeleri'nin altında aşağıdaki ilkelerin her birini düzenleyin ve Hem Başarı hem de Başarısızlıkolayları için aşağıdaki denetim olaylarını yapılandır'ı seçin.

      Denetim ilkesi Alt kategori Olay kimliklerini tetikler
      Hesap Oturumu Açma Kimlik Bilgisi Doğrulamayı Denetle 4776
      Hesap Yönetimi Bilgisayar Hesabı Yönetimini Denetleme* 4741, 4743
      Hesap Yönetimi Dağıtım Grubu Yönetimini Denetleme* 4753, 4763
      Hesap Yönetimi Güvenlik Grubu Yönetimini Denetleme* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Hesap Yönetimi Kullanıcı Hesabı Yönetimini Denetleme 4726
      DS Erişimi Dizin Hizmeti Değişikliklerini Denetleme* 5136
      Sistem Güvenlik Sistemi Uzantısını Denetle* 7045
      DS Erişimi Dizin Hizmeti Erişimini Denetleme 4662 - Bu olay için etki alanı nesnesi denetimini de yapılandırmanız gerekir.

      Not

      * Not edilen alt kategoriler hata olaylarını desteklemez. Ancak, gelecekte uygulanmaları durumunda bunları denetim amacıyla eklemenizi öneririz. Daha fazla bilgi için bkz . Bilgisayar Hesabı Yönetimini Denetleme, Güvenlik Grubu Yönetimini Denetleme ve Güvenlik Sistemi Uzantısını Denetleme.

      Örneğin, Denetim Güvenlik Grubu Yönetimi'ni yapılandırmak için Hesap Yönetimi'nin altında Güvenlik Grubu Yönetimini Denetle'ye çift tıklayın ve ardından Hem Başarı hem de Hataolayları için aşağıdaki denetim olaylarını yapılandır'ı seçin.

      Güvenlik Grubu Yönetimi Özelliklerini Denetle iletişim kutusunun ekran görüntüsü.

  5. Yükseltilmiş bir komut isteminden girin gpupdate.

  6. İlkeyi GPO aracılığıyla uyguladıktan sonra, yeni olayların windows günlük güvenliği> altındaki Olay Görüntüleyicisi görünmesine uygunolun.

Denetim ilkelerinizi komut satırından test etmek için aşağıdaki komutu çalıştırın:

auditpol.exe /get /category:*

Daha fazla bilgi için auditpol başvuru belgelerine bakın.

PowerShell kullanarak Gelişmiş Denetim İlkesi ayarlarını yapılandırma

Aşağıdaki eylemler, PowerShell kullanarak Kimlik için Defender için gerektiğinde etki alanı denetleyicinizin Gelişmiş Denetim İlkesi ayarlarının nasıl değiştirileceği açıklanmaktadır.

İlgili sistem durumu sorunu:Dizin Hizmetleri Gelişmiş Denetimi gerektiği gibi etkinleştirilmedi

Ayarlarınızı yapılandırmak için şunu çalıştırın:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Yukarıdaki komutta:

  • Mode veya modunu kullanmak DomainLocalMachine isteyip istemediğinizi belirtir. ModdaDomain, ayarlar grup ilkesi nesnelerinden toplanır. Modda LocalMachine , ayarlar yerel makineden toplanır.
  • Configuration ayarlanacağı yapılandırmayı belirtir. Tüm yapılandırmaları ayarlamak için kullanın All .
  • CreateGpoDisabled GPO'ların oluşturulup oluşturulmayıp devre dışı olarak tutulup tutulmadığını belirtir.
  • SkipGpoLink GPO bağlantılarının oluşturulmadığını belirtir.
  • Force yapılandırmanın ayarlandığını veya GPO'ların geçerli durum doğrulanmadan oluşturulduğunu belirtir.

Denetim ilkelerinizi görüntülemek için komutunu kullanarak Get-MDIConfiguration geçerli değerleri gösterin:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Yukarıdaki komutta:

  • Mode veya modunu kullanmak DomainLocalMachine isteyip istemediğinizi belirtir. ModdaDomain, ayarlar grup ilkesi nesnelerinden toplanır. Modda LocalMachine , ayarlar yerel makineden toplanır.
  • Configuration alınacak yapılandırmayı belirtir. Tüm yapılandırmaları almak için kullanın All .

Denetim ilkelerinizi test etmek için komutunu kullanarak değerlerin Test-MDIConfiguration doğru yapılandırılıp yapılandırılmadığına ilişkin bir true veya false yanıt alın:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Yukarıdaki komutta:

  • Mode veya modunu kullanmak DomainLocalMachine isteyip istemediğinizi belirtir. ModdaDomain, ayarlar grup ilkesi nesnelerinden toplanır. Modda LocalMachine , ayarlar yerel makineden toplanır.
  • Configuration test etmek istediğiniz yapılandırmayı belirtir. Tüm yapılandırmaları test etmek için kullanın All .

Daha fazla bilgi için aşağıdaki DefenderForIdentity PowerShell başvurularına bakın:

NTLM denetimini yapılandırma

Bu bölümde, Windows olay 8004'i denetlemek için ihtiyacınız olan ek yapılandırma adımları açıklanmaktadır.

Not

  • Windows olayı 8004'i toplamak için etki alanı grubu ilkeleri yalnızca etki alanı denetleyicilerine uygulanmalıdır.
  • Kimlik için Defender algılayıcısı Windows olay 8004'i ayrıştırdığında, Kimlik için Defender NTLM kimlik doğrulama etkinlikleri sunucu tarafından erişilen verilerle zenginleştirilmiştir.

İlgili sistem durumu sorunu:NTLM Denetimi etkinleştirilmedi

NTLM denetimini yapılandırmak için:

  1. İlk Gelişmiş Denetim İlkesi ayarlarınızı yapılandırdıktan sonra (kullanıcı arabirimi veya PowerShell aracılığıyla), grup ilkesi Yönetimi'ni açın. Ardından Varsayılan Etki Alanı Denetleyicileri İlkesi>Yerel İlkeler>Güvenlik Seçenekleri'ne gidin.

  2. Belirtilen güvenlik ilkelerini aşağıdaki gibi yapılandırın:

    Güvenlik ilkesi ayarı Değer
    Ağ güvenliği: NTLM'yi kısıtlama: Uzak sunuculara giden NTLM trafiği Tümünü denetle
    Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulamasını denetle Tümünü etkinleştir
    Ağ güvenliği: NTLM'i kısıtlama: Gelen NTLM Trafiğini Denetleme Tüm hesaplar için denetimi etkinleştirme

Örneğin, Uzak sunuculara giden NTLM trafiğini yapılandırmak için, Güvenlik Seçenekleri'nin altında Ağ güvenliği: NTLM: Uzak sunuculara giden NTLM trafiğini kısıtla'ya çift tıklayın ve ardından Tümünü denetle'yi seçin.

Uzak sunuculara giden NTLM trafiği için denetim yapılandırmasının ekran görüntüsü.

Etki alanı nesne denetimini yapılandırma

Olay 4662 gibi nesne değişikliklerine yönelik olayları toplamak için kullanıcı, grup, bilgisayar ve diğer nesneler üzerinde nesne denetimini de yapılandırmanız gerekir. Aşağıdaki yordamda Active Directory etki alanında denetimin nasıl etkinleştirileceği açıklanmaktadır.

Önemli

Etki alanı denetleyicilerinin gerekli olayları kaydedecek şekilde düzgün yapılandırıldığından emin olmak için olay toplamayı etkinleştirmeden önce ilkelerinizi ( kullanıcı arabirimi veya PowerShell aracılığıyla) gözden geçirin ve denetleyin. Bu denetim düzgün yapılandırıldıysa, sunucu performansı üzerinde en az etkiye sahip olmalıdır.

İlgili sistem durumu sorunu:Dizin Hizmetleri Nesne Denetimi gerektiği gibi etkinleştirilmedi

Etki alanı nesne denetimini yapılandırmak için:

  1. Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin.

  2. Denetlemek istediğiniz etki alanını seçin.

  3. Görünüm menüsünü ve ardından Gelişmiş Özellikler'i seçin.

  4. Etki alanına sağ tıklayın ve Özellikler'i seçin.

    Kapsayıcı özelliklerini açma seçimlerinin ekran görüntüsü.

  5. Güvenlik sekmesine gidin ve Gelişmiş'i seçin.

    Gelişmiş güvenlik özelliklerini açmaya yönelik iletişim kutusunun ekran görüntüsü.

  6. Gelişmiş Güvenlik Ayarları'ndaDenetim sekmesini ve ardından Ekle'yi seçin.

    Gelişmiş Güvenlik Ayarları iletişim kutusundaki Denetim sekmesinin ekran görüntüsü.

  7. Sorumlu seçin'i seçin.

    Sorumlu seçme düğmesinin ekran görüntüsü.

  8. Seçecek nesne adını girin alanına Herkes yazın. Ardından Adları> DenetleTamam'ı seçin.

    Herkes'in nesne adını girme işleminin ekran görüntüsü.

  9. Ardından Denetim Girdisi'ne dönersiniz. Aşağıdaki seçimleri yapın:

    1. Tür için Başarılı'yı seçin.

    2. Uygulandığı yer içinAlt Kullanıcı nesneleri'ne tıklayın.

    3. İzinler'in altında aşağı kaydırın ve Tümünü temizle düğmesini seçin.

      Tüm izinleri temizleme düğmesinin ekran görüntüsü.

    4. Ekranı yukarı kaydırın ve Tam Denetim'i seçin. Tüm izinler seçilir.

    5. Liste içeriği, Tüm özellikleri oku ve okuma izinleri izinlerinin seçimini kaldırın ve ardından Tamam'ı seçin. Bu adım, tüm Özellikler ayarlarını Yazma olarak ayarlar.

      İzinleri seçme işleminin ekran görüntüsü.

      Artık dizin hizmetlerinde yapılan tüm ilgili değişiklikler tetiklendiğinde 4662 olay olarak görünür.

  10. Bu yordamdaki adımları yineleyin, ancak Uygulandığı yer için aşağıdaki nesne türlerini seçin:

    • Alt Grup Nesneleri
    • Alt Bilgisayar Nesneleri
    • Descendant msDS-GroupManagedServiceAccount Nesneleri
    • Descendant msDS-ManagedServiceAccount Nesneleri

Not

Tüm alt nesnelerde denetim izinlerini atamak da işe yarayacaktı, ancak yalnızca son adımda ayrıntılı olarak belirtilen nesne türlerine ihtiyacınız var.

AD FS'de denetimi yapılandırma

İlgili sistem durumu sorunu:AD FS kapsayıcısı üzerinde denetim gerektiği gibi etkinleştirilmedi

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) üzerinde denetimi yapılandırmak için:

  1. Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin ve günlükleri etkinleştirmek istediğiniz etki alanını seçin.

  2. Program Data>Microsoft ADFS'ye> gidin.

    Active Directory Federasyon Hizmetleri (AD FS) kapsayıcısının ekran görüntüsü.

  3. ADFS'ye sağ tıklayın ve Özellikler'i seçin.

  4. Güvenlik sekmesine gidin ve Gelişmiş>Gelişmiş Güvenlik Ayarları'nı seçin. Ardından Denetim sekmesine gidin veSorumlu seçekle'yi> seçin.

  5. Seçecek nesne adını girin alanına Herkes yazın. Ardından Adları> DenetleTamam'ı seçin.

  6. Ardından Denetim Girdisi'ne dönersiniz. Aşağıdaki seçimleri yapın:

    • Tür için Tümü'nü seçin.
    • Uygulanacağı yer içinBu nesne ve tüm alt nesneler'i seçin.
    • İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Ekranı yukarı kaydırın ve Tüm özellikleri oku ve Tüm özellikleri yaz'ı seçin.

    Active Directory Federasyon Hizmetleri (AD FS) için denetim ayarlarının ekran görüntüsü.

  7. Tamam'ı seçin.

AD FS olayları için Ayrıntılı günlük kaydını yapılandırma

AD FS sunucularında çalışan algılayıcıların ilgili olaylar için denetim düzeyi Ayrıntılı olarak ayarlanmalıdır. Örneğin, denetim düzeyini Ayrıntılı olarak yapılandırmak için aşağıdaki komutu kullanın:

Set-AdfsProperties -AuditLevel Verbose

AD CS'de denetimi yapılandırma

Active Directory Sertifika Hizmetleri (AD CS) yapılandırılmış ayrılmış bir sunucuyla çalışıyorsanız, ayrılmış uyarıları ve Güvenli Puan raporlarını görüntülemek için denetimi aşağıdaki gibi yapılandırın:

  1. AD CS sunucunuza uygulanacak bir grup ilkesi oluşturun. Düzenleyin ve aşağıdaki denetim ayarlarını yapılandırın:

    1. Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Sertifika Hizmetleri'ne gidin.

    2. Denetim olaylarını Başarılı ve Başarısız olarak yapılandırmak için onay kutularını seçin.

      grup ilkesi Yönetimi Düzenleyici Active Directory Sertifika Hizmetleri için denetim olaylarını yapılandırma işleminin ekran görüntüsü.

  2. Aşağıdaki yöntemlerden birini kullanarak sertifika yetkilisi (CA) üzerinde denetimi yapılandırın:

    • KOMUT satırını kullanarak CA denetimini yapılandırmak için şunu çalıştırın:

      certutil –setreg CA\AuditFilter 127 
      
      
      net stop certsvc && net start certsvc
      
    • GUI kullanarak CA denetimini yapılandırmak için:

      1. Sertifika Yetkilisini Başlat>(MMC Masaüstü uygulaması)'ı seçin. CA'nızın adına sağ tıklayın ve Özellikler'i seçin.

        Sertifika Yetkilisi iletişim kutusunun ekran görüntüsü.

      2. Denetim sekmesini seçin, denetlemek istediğiniz tüm olayları seçin ve ardından Uygula'yı seçin.

        Sertifika yetkilisi özellikleri için Denetim sekmesinin ekran görüntüsü.

Not

Active Directory Sertifika Hizmetlerini Başlat ve Durdur olay denetiminin yapılandırılması, büyük bir AD CS veritabanıyla ilgilenirken yeniden başlatma gecikmelerine neden olabilir. Veritabanından ilgisiz girdileri kaldırmayı göz önünde bulundurun. Alternatif olarak, bu özel olay türünü etkinleştirmekten kaçınabilirsiniz.

Microsoft Entra Connect'te denetimi yapılandırma

Microsoft Entra Connect sunucularında denetimi yapılandırmak için:

  • Microsoft Entra Connect sunucularınıza uygulanacak bir grup ilkesi oluşturun. Düzenleyin ve aşağıdaki denetim ayarlarını yapılandırın:

    1. Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Oturum Açma/Kapatma\Oturum Açmayı Denetle'ye gidin.

    2. Denetim olaylarını Başarılı ve Başarısız olarak yapılandırmak için onay kutularını seçin.

grup ilkesi Yönetimi Düzenleyici ekran görüntüsü.

Yapılandırma kapsayıcısı üzerinde denetimi yapılandırma

Not

Yapılandırma kapsayıcısı denetimi yalnızca şu anda Microsoft Exchange'e sahip olan veya daha önce Microsoft Exchange'e sahip olan ortamlar için geçerlidir çünkü bu ortamlar etki alanının Yapılandırma bölümünde bulunan bir Exchange kapsayıcısı vardır.

İlgili sistem durumu sorunu:Yapılandırma kapsayıcısı üzerinde denetim gerektiği gibi etkinleştirilmedi

  1. ADSI Düzenleme aracını açın. ÇalıştırmayıBaşlat'ı> seçin, yazın ADSIEdit.mscve tamam'ı seçin.

  2. Eylem menüsünde Bağlan'ı seçin.

  3. Bağlantı Ayarları iletişim kutusundaki İyi bilinen bir Adlandırma Bağlamı seçin altında Yapılandırma>Tamam'ı seçin.

  4. "CN=Configuration,DC=..." ile başlayan Yapılandırma düğümünü göstermek için Yapılandırma kapsayıcısını genişletin.

  5. Yapılandırma düğümüne sağ tıklayın ve Özellikler'i seçin.

    Yapılandırma düğümü için özellikleri açma seçimlerinin ekran görüntüsü.

  6. Güvenlik sekmesini ve ardından Gelişmiş'i seçin.

  7. Gelişmiş Güvenlik Ayarları'ndaDenetim sekmesini ve ardından Ekle'yi seçin.

  8. Sorumlu seçin'i seçin.

  9. Seçecek nesne adını girin alanına Herkes yazın. Ardından Adları> DenetleTamam'ı seçin.

  10. Ardından Denetim Girdisi'ne dönersiniz. Aşağıdaki seçimleri yapın:

    • Tür için Tümü'nü seçin.
    • Uygulanacağı yer içinBu nesne ve tüm alt nesneler'i seçin.
    • İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Ekranı yukarı kaydırın ve Tüm özellikleri yaz'ı seçin.

    Yapılandırma kapsayıcısı için denetim ayarlarının ekran görüntüsü.

  11. Tamam'ı seçin.

Eski yapılandırmaları güncelleştirme

Kimlik için Defender artık 1644 olaylarının günlüğe kaydedilmesini gerektirmez. Aşağıdaki ayarlardan birini etkinleştirdiyseniz, bunları kayıt defterinden kaldırabilirsiniz.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Daha fazla bilgi için bkz.:

Sonraki adım