Kimlik için Microsoft Defender ile olay koleksiyonu
Kimlik için Microsoft Defender algılayıcısı syslog olaylarını otomatik olarak toplayacak şekilde yapılandırılır. Windows olayları için Kimlik için Defender algılama, algılayıcının etki alanı denetleyicilerinizden ayrıştırdığı belirli olay günlüklerine dayanır.
Etki alanı denetleyicileri ve AD FS / AD CS sunucuları için olay koleksiyonu
Doğru olayların denetlenip Windows olay günlüğüne eklenmesi için, etki alanı denetleyicileriniz veya AD FS / AD CS sunucularınız doğru, gelişmiş denetim ilkesi ayarları gerektirir.
Daha fazla bilgi için bkz . Windows olay günlükleri için denetim ilkelerini yapılandırma.
Gerekli olayların başvurusu
Bu bölümde, AD FS / AD CS sunucularına veya etki alanı denetleyicilerine yüklendiğinde Kimlik için Defender algılayıcısının gerektirdiği Windows olayları listelenir.
Gerekli Active Directory Federasyon Hizmetleri (AD FS) (AD FS) olayları
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sunucuları için aşağıdaki olaylar gereklidir:
- 1202 - Federasyon Hizmeti yeni bir kimlik bilgisi doğrulandı
- 1203 - Federasyon Hizmeti yeni bir kimlik bilgilerini doğrulayamadı
- 4624 - Bir hesap başarıyla oturum açtı
- 4625 - Hesap oturum açamadı
Daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) üzerinde denetimi yapılandırma.
Gerekli Active Directory Sertifika Hizmetleri (AD CS) olayları
Active Directory Sertifika Hizmetleri (AD CS) sunucuları için aşağıdaki olaylar gereklidir:
- 4870: Sertifika Hizmetleri sertifikayı iptal etti
- 4882: Sertifika Hizmetleri için güvenlik izinleri değiştirildi
- 4885: Sertifika Hizmetleri için denetim filtresi değiştirildi
- 4887: Sertifika Hizmetleri bir sertifika isteğini onayladı ve sertifika yayımladı
- 4888: Sertifika Hizmetleri sertifika isteğini reddetti
- 4890: Sertifika Hizmetleri için sertifika yöneticisi ayarları değiştirildi.
- 4896: Sertifika veritabanından bir veya daha fazla satır silindi
Daha fazla bilgi için bkz . Active Directory Sertifika Hizmetleri (AD CS) için denetimi yapılandırma.
Diğer gerekli Windows olayları
Tüm Kimlik için Defender algılayıcıları için aşağıdaki genel Windows olayları gereklidir:
- 4662 - Nesne üzerinde bir işlem gerçekleştirildi
- 4726 - Kullanıcı Hesabı Silindi
- 4728 - Genel Güvenlik Grubuna Üye Eklendi
- 4729 - Üye Genel Güvenlik Grubundan Kaldırıldı
- 4730 - Genel Güvenlik Grubu Silindi
- 4732 - Yerel Güvenlik Grubuna Üye Eklendi
- 4733 - Üye Yerel Güvenlik Grubundan Kaldırıldı
- 4741 - Bilgisayar Hesabı Eklendi
- 4743 - Bilgisayar Hesabı Silindi
- 4753 - Genel Dağıtım Grubu Silindi
- 4756 - Evrensel Güvenlik Grubuna Üye Eklendi
- 4757 - Evrensel Güvenlik Grubundan Üye Kaldırıldı
- 4758 - Evrensel Güvenlik Grubu Silindi
- 4763 - Evrensel Dağıtım Grubu Silindi
- 4776 - Etki Alanı Denetleyicisi Bir Hesap için Kimlik Bilgilerini Doğrulamaya Çalıştı (NTLM)
- 5136 - Dizin hizmeti nesnesi değiştirildi
- 7045 - Yeni Hizmet Yüklendi
- 8004 - NTLM Kimlik Doğrulaması
Daha fazla bilgi için bkz . NTLM denetimini yapılandırma ve Etki alanı nesnesi denetimini yapılandırma.
Tek başına algılayıcılar için olay toplama
Tek başına Kimlik için Defender algılayıcısıyla çalışıyorsanız, aşağıdaki yöntemlerden birini kullanarak olay koleksiyonunu el ile yapılandırın:
- Tek başına Kimlik için Defender algılayıcınızda SIEM olaylarını dinleyin. Kimlik için Defender, SIEM veya syslog sunucunuzdan gelen UDP trafiğini destekler.
- Tek başına Kimlik için Defender algılayıcınıza Windows olay iletmeyi yapılandırma
Dikkat
Syslog verilerini tek başına bir algılayıcıya iletirken tüm syslog verilerini algılayıcınıza iletmediğinizden emin olun.
Önemli
Tek başına Kimlik için Defender algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.
Daha fazla bilgi için SIEM veya syslog sunucunuzun ürün belgelerine bakın.