Microsoft Defender for Identity 事件收集
Microsoft Defender for Identity 传感器配置为自动收集 syslog 事件。 对于 Windows 事件,Defender for Identity 检测依赖于传感器从域控制器解析的特定事件日志。
域控制器和 AD FS/AD CS 服务器事件收集
为了审核正确的事件并将其包含在 Windows 事件日志中,域控制器或 AD FS/AD CS 服务器需要准确的高级审核策略设置。
有关详细信息,请参阅配置 Windows 事件日志的审核策略。
所需事件引用
本部分列出了 Defender for Identity 传感器在 AD FS/AD CS 服务器或域控制器上安装时所需的 Windows 事件。
所需的 Active Directory 联合身份验证服务 (AD FS) 事件
下面是 Active Directory 联合身份验证服务 (AD FS) 服务器所需的事件:
- 1202 - 联合身份验证服务验证了新凭据
- 1203 - 联合身份验证服务无法验证新凭据
- 4624 - 已成功登录帐户
- 4625 - 无法登录帐户
有关更多信息,请参阅为 Active Directory 联合身份验证服务 (AD FS) 配置审核。
所要求的 Active Directory 证书服务 (AD CS) 事件
Active Directory 证书服务(AD CS)服务器需要以下事件:
- 4870:证书服务已吊销证书
- 4882:证书服务的安全权限已更改
- 4885:证书服务的审核筛选器已更改
- 4887:证书服务已批准证书申请并颁发证书
- 4888:证书服务已拒绝证书申请
- 4890:证书服务的证书管理器设置已更改。
- 4896:已经从证书数据库删除一行或多行
有关更多信息,请参阅为 Active Directory 证书服务 (AD CS) 配置审核。
其他所需的 Windows 事件
下面是所有 Defender for Identity 传感器所需的常规 Windows 事件:
- 4662 - 在对象上执行了操作
- 4726 - 删除了用户帐户
- 4728 - 向全局安全组添加了成员
- 4729 - 从全局安全组中删除了成员
- 4730 - 删除了全局安全组
- 4732 - 向本地安全组添加了成员
- 4733 - 从本地安全组中删除了成员
- 4741 - 添加了计算机帐户
- 4743 - 删除了计算机帐户
- 4753 - 删除了全局通讯组
- 4756 - 向通用安全组添加了成员
- 4757 - 从通用安全组中删除了成员
- 4758 - 删除了通用安全组
- 4763 - 删除了通用通讯组
- 4776 - 域控制器试图验证帐户的凭据 (NTLM)
- 5136 - 修改了目录服务对象
- 7045 - 安装了新服务
- 8004 - NTLM 身份验证
有关详细信息,请参阅配置 NTLM 审核和配置域对象审核。
独立传感器事件收集
如果使用的是独立 Defender for Identity 传感器,请使用以下方法之一手动配置事件收集:
- 侦听 Defender for Identity 独立传感器上的 SIEM 事件。 Defender for Identity 支持来自 SIEM 或 syslog 服务器的 UDP 流量。
- 配置转发到 Defender for Identity 独立传感器的 Windows 事件
注意
将 syslog 数据转发到独立传感器时,确保不要将所有 syslog 数据转发到传感器。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议部署 Defender for Identity 传感器。
有关详细信息,请参阅 SIEM 或 syslog 服务器产品文档。