設定 Windows 事件集合

適用於身分識別的 Microsoft Defender偵測依賴特定的 Windows 事件記錄專案來增強某些偵測,並提供執行 NTLM 登入、安全性群組修改和類似事件等特定動作的其他資訊。 若要正確稽核事件並將其包含在 Windows 事件記錄檔中,則網域控制站需要正確的進階稽核原則設定。 不正確的進階稽核原則設定可能會導致未記錄在事件記錄檔中的必要事件,並導致適用于身分識別的 Defender 涵蓋範圍不完整。

為了增強威脅偵測功能,適用于身分識別的 Defender 需要設定並收集下列 Windows 事件:適用于身分識別的 Defender:

相關的 Windows 事件

針對 Active Directory 同盟服務 (AD FS) 事件

  • 1202 -「同盟服務」已驗證新的認證
  • 1203 -「同盟服務」無法驗證新的認證
  • 4624 - 帳戶成功登入
  • 4625 - 帳戶無法登入

針對其他事件

  • 1644 - LDAP 搜尋
  • 4662 - 已在物件上執行作業
  • 4726 - 使用者帳戶已刪除
  • 4728 - 成員已新增至全域安全性群組
  • 4729 - 成員已自全域安全性群組移除
  • 4730 - 全域安全性群組已刪除
  • 4732 - 成員已新增至本機安全性群組
  • 4733 - 成員已從本機安全性群組移除
  • 4741 - 已新增電腦帳戶
  • 4743 - 電腦帳戶已刪除
  • 4753 - 全域通訊群組已刪除
  • 4756 - 成員已新增至萬用安全性群組
  • 4757 - 成員已自萬用安全性群組移除
  • 4758 - 萬用安全性群組已刪除
  • 4763 - 萬用通訊群組已刪除
  • 4776 - 網域控制站嘗試驗證帳戶的認證 (NTLM)
  • 5136 - 已修改目錄服務物件
  • 7045 - 新服務已安裝
  • 8004 - NTLM 驗證

設定稽核原則

請使用下列指示修改網域控制站的進階稽核原則:

  1. 網域系統管理員身分登入伺服器。

  2. 從 伺服器管理員Tools>群組原則 Management開啟[> 群組原則 管理編輯器]。

  3. 展開 [網域控制站組織單位],以滑鼠右鍵按一下 [預設網域控制站原則],然後選取 [ 編輯]。

    注意

    您可以使用預設網域控制站原則或專用的 GPO 來設定這些原則。

    編輯網域控制站原則。

  4. 從開啟的視窗前往 [電腦設定]>[原則]>[Windows 設定]>[安全性設定],然後根據您想要啟用的原則,執行下列動作:

    針對進階稽核原則設定

    1. 請前往 [進階稽核原則設定]>[稽核原則]。 進階稽核原則設定。

    2. 在 [稽核原則] 下編輯下列每個原則,然後針對 [設定下列稽核事件] 選取 [成功] 與 [失敗] 事件。

      稽核原則 子類別 觸發事件識別碼
      帳戶登入 稽核認證驗證 4776
      帳戶管理 稽核電腦帳戶管理 4741, 4743
      帳戶管理 稽核通訊群組管理 4753、4763
      帳戶管理 稽核安全性群組管理 4728、4729、4730、4732、4733、4756、4757、4758
      帳戶管理 稽核使用者帳戶管理 4726
      DS 存取 稽核目錄服務存取 4662 - 針對此事件,也需要 設定物件稽核
      DS 存取 稽核目錄服務變更 5136
      系統 稽核安全性系統延伸 7045

      例如,若要設定 [稽核安全性群組管理],請在 [帳戶管理] 下,按兩下 [稽核安全性群組管理],然後針對 [設定下列稽核事件] 選取 [成功] 與 [失敗] 事件。

      稽核安全性群組管理。

  5. 從提升許可權的命令提示字元中,輸入 gpupdate

    注意

    此步驟應該在網域中的所有網域控制站上執行,或者您可以等候下一個重新整理週期,預設會在 90 分鐘內更新它們 ()

  6. 透過 GPO 套用之後,新的事件會顯示在 windows Logs - >Security下的事件檢視器中。

注意

如果您選擇使用本機安全性原則,而不是使用群組原則,請務必在本機原則中新增 [帳戶登入]、[帳戶管理] 及 [安全性選項] 稽核記錄。 如果您要設定進階稽核原則,請務必強制執行稽核原則子類別

事件識別碼 8004

若要稽核事件識別碼 8004,則需要額外的設定步驟。

注意

  • 要 收集 Windows 事件 8004 的網域群組原則應該套用到網域控制站。
  • 當適用于身分識別的 Defender 剖析 Windows 事件 8004 時,適用于身分識別的 Defender NTLM 驗證活動會使用伺服器存取的資料來擴充。
  1. 遵循上述初始步驟,開啟[群組原則管理],然後流覽至[預設網域控制站原則]。

  2. 前往 [本機原則]>[安全性選項]。

  3. 在 [安全性選項] 下設定指定的安全性原則,如下所示

    安全性原則設定
    網路安全性: 限制 NTLM: 送往遠端伺服器的連出 NTLM 流量 全部稽核
    網路安全性: 限制 NTLM: 稽核這個網域的 NTLM 驗證 全部啟用
    網路安全性:限制 NTLM:稽核連入 NTLM 流量 為所有帳戶啟用稽核

    例如,若要設定 [送往遠端伺服器的連出 NTLM 流量],請在 [安全性選項] 下,按兩下 [網路安全性:限制 NTLM:送往遠端伺服器的連出 NTLM 流量],然後選取 [全部稽核]。

    稽核對遠端伺服器的傳出 NTLM 流量。

事件識別碼 1644

適用於身分識別的 Microsoft Defender可以監視網路中的其他 LDAP 查詢。 這些 LDAP 活動會透過 Active Directory Web 服務通訊協定傳送,並像一般 LDAP 查詢一樣運作。 若要瞭解這些活動,您必須在網域控制站上啟用事件 1644。 此事件涵蓋網域中的 LDAP 活動,主要是用來識別 Active Directory 網域控制站所服務之昂貴、效率不佳或緩慢的輕量型目錄存取通訊協定 (LDAP) 搜尋。

注意

記錄 1644 事件可能會影響伺服器效能。 雖然 資源限制功能 可以在伺服器用盡資源時停止適用于身分識別的 Defender 服務,但不會停止作業系統層級的事件稽核。 因此,若要避免效能問題,請確定您的伺服器有足夠的記憶體、CPU 和磁片資源。

預設不會在網域控制站上收集 Windows 事件 1644,而且必須手動啟用以支援此功能。 這是透過使用下列值建立這些登錄機碼來完成的:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

設定物件稽核

若要收集 4662 事件,也必須在使用者、群組和電腦物件上設定物件稽核。 以下是如何在 Active Directory 網域中的所有使用者、群組和電腦上啟用稽核的範例,但也可以依 OU (組織單位範圍設定為) :

注意

請務必 先檢閱並驗證您的稽核原則 ,再啟用事件收集,以確保網域控制站已正確設定為記錄必要的事件。

如果已正確設定,此稽核應該對伺服器效能的影響降到最低。

  1. 移至Active Directory 消費者和電腦主控台。

  2. 選取包含您要稽核之使用者、群組或電腦的網域或 OU。

  3. 以滑鼠右鍵按一下容器 (網域或 OU) ,然後選取 [ 屬性]。

    容器屬性。

  4. 移至 [安全性] 索引 標籤,然後選取 [ 進階]。

    進階安全性屬性。

  5. 在 [ 進階安全性設定]中,選擇 [ 稽核] 索引 標籤。選取 [新增]。

    選取 [稽核] 索引標籤。

  6. 按一下 [選取主體]

    選取主體。

  7. [輸入要選取的物件名稱] 底下,輸入 [所有人]。 然後選取 [檢查名稱],然後選取 [ 確定]。

    選取所有人。

  8. 您接著會返回 稽核專案。 選取下列項目:

    • 針對 [類型] 選取 [成功]。

    • 針對 [套用] 選取[子系使用者物件]。

    • 在 [ 許可權]底下,向下捲動並選取 [全部清除]。 向上捲動並選取 [完全控制]。 將會選取擁有權限。 然後取消核取 [列出內容]、 [讀取權限] 和 [讀取所有屬性 ] 許可權。 然後選取 [確定]。 這會將所有 [屬性 ] 設定設為 [寫入]。 現在觸發時,目錄服務的所有相關變更都會顯示為 4662 事件。

      選取許可權。

      選取屬性。

  9. 然後重複上述步驟,但針對 [ 套用至] 選取下列物件類型:

    • 子代群組物件
    • 子代電腦物件
    • Descendant msDS-GroupManagedServiceAccount 物件
    • Descendant msDS-ManagedServiceAccount 物件

特定偵測的稽核

某些偵測需要稽核特定的 Active Directory 物件。 若要這樣做,請遵循上述步驟,但請注意下列要稽核的物件以及要包含哪些許可權的變更。

在 ADFS 物件上啟用稽核

  1. 移至Active Directory 消費者和電腦主控台,然後選擇您要啟用記錄的網域。

  2. 流覽至Program Data>Microsoft>ADFS

    ADFS 容器。

  3. 以滑鼠右鍵按一下 [ADFS ],然後選取 [ 屬性]。

  4. 移至 [安全性] 索引 標籤,然後選取 [ 進階]。

  5. 在 [ 進階安全性設定]中,選擇 [ 稽核] 索引 標籤。選取 [新增]。

  6. 按一下 [選取主體]

  7. [輸入要選取的物件名稱] 底下,輸入 [所有人]。 然後選取 [檢查名稱],然後選取 [ 確定]。

  8. 您接著會返回 稽核專案。 選取下列項目:

    • 針對 [類型] 選取 [全部]。
    • 針對 [套用] 選取[此物件] 和 [所有子代物件]。
    • 在 [ 許可權]底下,向下捲動並選取 [全部清除]。 向上捲動並選取 [讀取所有屬性 ] 和 [ 寫入所有屬性]。

    ADFS 的稽核設定。

  9. 選取 [確定]。

在 Exchange 物件上啟用稽核

  1. 開啟 ADSI 編輯器。 若要這樣做,請選取 [ 開始],選取 [ 執行],輸入 ADSIEdit.msc,然後選取 [ 確定]。

  2. 在 [ 動作] 功能表上,選取 [ 連線到]。

  3. 在 [ 連線設定 ] 對話方塊的 [ 選取已知的命名內容]底下,選取 [組 ],然後選取 [ 確定]。

  4. 展開 [ 組態 ] 容器。 在 [ 組態 ] 容器下,您會看到 [ 組態 ] 節點。 其開頭為 「CN=Configuration,DC=...」

  5. 以滑鼠右鍵按一下 [ 組態 ] 節點,然後選取 [ 屬性]。

    組態節點屬性。

  6. 移至 [安全性] 索引 標籤,然後選取 [ 進階]。

  7. 在 [ 進階安全性設定]中,選擇 [ 稽核] 索引 標籤。選取 [新增]。

  8. 按一下 [選取主體]

  9. [輸入要選取的物件名稱] 底下,輸入 [所有人]。 然後選取 [檢查名稱],然後選取 [ 確定]。

  10. 您接著會返回 稽核專案。 選取下列項目:

    • 針對 [類型] 選取 [全部]。
    • 針對 [套用] 選取[此物件] 和 [所有子代物件]。
    • 在 [ 許可權]底下,向下捲動並選取 [全部清除]。 向上捲動並選取 [寫入所有屬性]。

    組態的稽核設定。

  11. 選取 [確定]。

設定事件收集

這些事件可由適用于身分識別的 Defender 感應器自動收集,或者,如果未部署適用于身分識別的 Defender 感應器,則可以透過下列其中一種方式轉送到適用于身分識別的 Defender 獨立感應器:

注意

  • 適用于身分識別的 Defender 獨立感應器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,這些記錄專案會提供多個偵測的資料。 如需環境的完整涵蓋範圍,建議您部署適用于身分識別的 Defender 感應器。

下一步