Shromažďování událostí s Microsoft Defender for Identity
Senzor Microsoft Defender for Identity je nakonfigurovaný tak, aby automaticky shromažďoval události syslogu. U událostí Windows spoléhá detekce Defenderu for Identity na konkrétní protokoly událostí. Senzor analyzuje tyto protokoly událostí z řadičů domény.
Shromažďování událostí pro servery SLUŽBY AD FS, servery SLUŽBY AD CS, servery Microsoft Entra Connect a řadiče domény
Aby bylo možné auditovat správné události a zahrnout je do protokolu událostí Systému Windows, vyžadují servery Active Directory Federation Services (AD FS) (AD FS), servery služby AD CS (Active Directory Certificate Services), servery Microsoft Entra Connect nebo řadiče domény přesné nastavení rozšířených zásad auditu.
Další informace najdete v tématu Konfigurace zásad auditu pro protokoly událostí Windows.
Odkazy na požadované události
Tato část obsahuje seznam událostí Windows, které senzor Defenderu for Identity vyžaduje, když je nainstalovaný na serverech SLUŽBY AD FS, serverech AD CS, serverech Microsoft Entra Connect nebo řadičích domény.
Požadované události služby AD FS
Pro servery SLUŽBY AD FS se vyžadují následující události:
- 1202: Služba FS (Federation Service) ověřila nové přihlašovací údaje
- 1203: Službě FS se nepodařilo ověřit nové přihlašovací údaje.
- 4624: Účet byl úspěšně přihlášen
- 4625: Účet se nepodařilo přihlásit
Další informace najdete v tématu Konfigurace auditování pro Active Directory Federation Services (AD FS).
Požadované události SLUŽBY AD CS
Pro servery AD CS se vyžadují následující události:
- 4870: Certifikační služba odvolal certifikát
- 4882: Změnila se oprávnění zabezpečení pro Certifikační službu
- 4885: Filtr auditu pro Certifikační službu se změnil.
- 4887: Služba Certificate Services schválila žádost o certifikát a vydala certifikát
- 4888: Služba Certificate Services zamítla žádost o certifikát
- 4890: Nastavení správce certifikátů pro Certifikační službu se změnilo.
- 4896: Z databáze certifikátů se odstranil nejméně jeden řádek.
Další informace najdete v tématu Konfigurace auditování pro službu Active Directory Certificate Services.
Požadované události Microsoft Entra Connect
Pro servery Microsoft Entra Connect se vyžaduje následující událost:
- 4624: Účet byl úspěšně přihlášen
Další informace najdete v tématu Konfigurace auditování pro Microsoft Entra Connect.
Další požadované události Windows
Pro všechny senzory Defenderu for Identity se vyžadují následující obecné události Windows:
- 4662: S objektem byla provedena operace
- 4726: Uživatelský účet se odstranil
- 4728: Přidání člena do globální skupiny zabezpečení
- 4729: Odebrání člena z globální skupiny zabezpečení
- 4730: Globální skupina zabezpečení odstraněna
- 4732: Člen přidán do místní skupiny zabezpečení
- 4733: Člen odebrán z místní skupiny zabezpečení
- 4741: Přidání účtu počítače
- 4743: Účet počítače byl odstraněn.
- 4753: Globální distribuční skupina odstraněna
- 4756: Přidání člena do univerzální skupiny zabezpečení
- 4757: Odebrání člena z univerzální skupiny zabezpečení
- 4758: Odstraněná skupina zabezpečení Universal
- 4763: Univerzální distribuční skupina odstraněna
- 4776: Řadič domény se pokusil ověřit přihlašovací údaje pro účet (NTLM)
- 5136: Objekt adresářové služby byl změněn.
- 7045: Nová služba nainstalována
- 8004: Ověřování NTLM
Další informace najdete v tématech Konfigurace auditování PROTOKOLU NTLM a Konfigurace auditování objektů domény.
Shromažďování událostí pro samostatné senzory
Pokud pracujete se samostatným senzorem Defender for Identity, nakonfigurujte shromažďování událostí ručně pomocí jedné z následujících metod:
- Naslouchejte událostem správy událostí a informací o zabezpečení (SIEM) na samostatném senzoru Defenderu for Identity. Defender for Identity podporuje provoz protokolu UDP (User Datagram Protocol) ze systému SIEM nebo ze serveru syslog.
- Nakonfigurujte předávání událostí Windows do samostatného senzoru Defenderu for Identity. Při předávání dat syslogu do samostatného senzoru nezapomeňte do senzoru předávat všechna data syslogu.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.
Další informace najdete v produktové dokumentaci k systému SIEM nebo serveru syslog.