具有 適用於身分識別的 Microsoft Defender 的事件集合
適用於身分識別的 Microsoft Defender 感測器已設定為自動收集 syslog 事件。 針對 Windows 事件,適用於身分識別的 Defender 偵測依賴特定的事件記錄檔。 感測器會從您的域控制器剖析這些事件記錄檔。
AD FS 伺服器、AD CS 伺服器、Microsoft Entra Connect 伺服器和域控制器的事件集合
若要稽核並包含在 Windows 事件記錄檔中的正確事件,您的 Active Directory 同盟服務 (AD FS) 伺服器、Active Directory 憑證服務 (AD CS) 伺服器、Microsoft Entra Connect 伺服器或域控制器需要精確的進階審核策略設定。
如需詳細資訊,請參閱 設定 Windows 事件記錄的審核策略。
必要事件的參考
本節列出 Defender for Identity 感測器在 AD FS 伺服器、AD CS 伺服器、Microsoft Entra Connect 伺服器或域控制器上安裝時所需的 Windows 事件。
必要的AD FS事件
AD FS 伺服器需要下列事件:
- 1202:同盟服務已驗證新的認證
- 1203:同盟服務無法驗證新的認證
- 4624:已成功登入帳戶
- 4625:帳戶無法登入
如需詳細資訊,請參閱設定 Active Directory 同盟服務 的稽核。
必要的 AD CS 事件
AD CS 伺服器需要下列事件:
- 4870:憑證服務撤銷憑證
- 4882:憑證服務的安全性許可權已變更
- 4885:憑證服務的稽核篩選已變更
- 4887:憑證服務已核准憑證要求併發出憑證
- 4888:憑證服務拒絕憑證要求
- 4890:憑證服務的憑證管理員設定已變更
- 4896:已從憑證資料庫刪除一或多個數據列
如需詳細資訊,請參閱 設定 Active Directory 憑證服務的稽核。
必要Microsoft Entra Connect 事件
Microsoft Entra Connect 伺服器需要下列事件:
- 4624:已成功登入帳戶
如需詳細資訊,請參閱 設定Microsoft Entra Connect 的稽核。
其他必要的 Windows 事件
所有適用於身分識別的 Defender 感測器都需要下列一般 Windows 事件:
- 4662:已在 對象上執行作業
- 4726:用戶帳戶已刪除
- 4728:已新增至全域安全組的成員
- 4729:已從全域安全組移除成員
- 4730:已刪除全域安全組
- 4732:已新增至本機安全組的成員
- 4733:從本機安全組移除的成員
- 4741:已新增計算機帳戶
- 4743:已刪除計算機帳戶
- 4753:全域通訊群組已刪除
- 4756:已新增至通用安全組的成員
- 4757:已從通用安全組移除成員
- 4758:已刪除通用安全組
- 4763:通用通訊群組已刪除
- 4776:域控制器嘗試驗證帳戶的認證 (NTLM)
- 5136:已修改目錄服務物件
- 7045:已安裝新服務
- 8004:NTLM 驗證
如需詳細資訊,請參閱 設定NTLM稽核 和 設定網域物件稽核。
獨立感測器的事件集合
如果您要使用獨立的適用於身分識別的 Defender 感測器,請使用下列其中一種方法手動設定事件收集:
- 在適用於身分識別的 Defender 獨立感測器上接聽安全性資訊和事件管理 (SIEM) 事件。 適用於身分識別的 Defender 支援來自 SIEM 系統或 syslog 伺服器的使用者數據報通訊協定 (UDP) 流量。
- 設定 Windows 事件轉送至適用於身分識別的 Defender 獨立感測器。 當您將 syslog 資料轉送至獨立感測器時,請務必不要將所有 syslog 資料轉送至您的感測器。
重要
適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,這些記錄專案會提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。
如需詳細資訊,請參閱 SIEM 系統或 syslog 伺服器的產品檔。