Microsoft Defender for Identity 事件收集
Microsoft Defender for Identity 传感器配置为自动收集 syslog 事件。 对于 Windows 事件,Defender for Identity 检测依赖于特定的事件日志。 传感器从域控制器分析这些事件日志。
AD FS 服务器、AD CS 服务器、Microsoft Entra Connect 服务器和域控制器的事件收集
为了审核正确的事件并将其包含在 Windows 事件日志中,你的 Active Directory 联合身份验证服务 (AD FS) 服务器、Active Directory 证书服务 (AD CS) 服务器、Microsoft Entra Connect 服务器或域控制器需要准确的高级审核策略设置。
有关详细信息,请参阅配置 Windows 事件日志的审核策略。
所需事件引用
本节列出了 Defender for Identity 传感器安装在 AD FS 服务器、AD CS 服务器、Microsoft Entra Connect 服务器或域控制器上时所需的 Windows 事件。
所需的 AD FS 事件
AD FS 服务器需要以下事件:
- 1202:联合身份验证服务验证了新凭据
- 1203:联合身份验证服务无法验证新凭据
- 4624:已成功登录帐户
- 4625:无法登录帐户
有关详细信息,请参阅在 Active Directory 联合身份验证服务上配置审核。
所需的 AD CS 事件
AD CS 服务器需要以下事件:
- 4870:证书服务已吊销证书
- 4882:证书服务的安全权限已更改
- 4885:证书服务的审核筛选器已更改
- 4887:证书服务已批准证书申请并颁发证书
- 4888:证书服务已拒绝证书申请
- 4890:证书服务的证书管理器设置已更改
- 4896:已经从证书数据库删除一行或多行
有关详细信息,请参阅配置 Active Directory 证书服务审核。
必需的 Microsoft Entra Connect 事件
Microsoft Entra Connect 服务器需要以下事件:
- 4624:已成功登录帐户
有关详细信息,请参阅 在 Microsoft Entra Connect 上配置审核。
其他所需的 Windows 事件
下面是所有 Defender for Identity 传感器所需的常规 Windows 事件:
- 4662:在对象上执行了操作
- 4726:删除了用户帐户
- 4728:向全局安全组添加了成员
- 4729:从全局安全组中删除了成员
- 4730:删除了全局安全组
- 4732:向本地安全组添加了成员
- 4733:从本地安全组中删除了成员
- 4741:添加了计算机帐户
- 4743:删除了计算机帐户
- 4753:删除了全局通讯组
- 4756:向通用安全组添加了成员
- 4757:从通用安全组中删除了成员
- 4758:删除了通用安全组
- 4763:删除了通用通讯组
- 4776:域控制器试图验证帐户的凭据 (NTLM)
- 5136:修改了目录服务对象
- 7045:安装了新服务
- 8004:NTLM 身份验证
有关详细信息,请参阅配置 NTLM 审核和配置域对象审核。
独立传感器事件收集
如果正在使用独立的 Defender for Identity 传感器,请使用以下方法之一手动配置事件收集:
- 在 Defender for Identity 独立传感器上侦听安全信息和事件管理 (SIEM) 事件。 Defender for Identity 支持来自 SIEM 系统或 syslog 服务器的用户数据报协议 (UDP) 流量。
- 配置转发到 Defender for Identity 独立传感器的 Windows 事件。 将 syslog 数据转发到独立传感器时,请确保不要将所有 syslog 数据转发到传感器。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议部署 Defender for Identity 传感器。
有关更多信息,请参阅 SIEM 系统或 syslog 服务器的产品文档。