Hændelsessamling med Microsoft Defender for Identity
En Microsoft Defender for Identity sensor er konfigureret til automatisk at indsamle syslog-hændelser. I forbindelse med Windows-hændelser er Defender for Identity-registrering afhængig af specifikke hændelseslogge. Sensoren fortolker disse hændelseslogfiler fra dine domænecontrollere.
Hændelsessamling for AD FS-servere, AD CS-servere, Microsoft Entra Opret forbindelse til servere og domænecontrollere
Hvis de korrekte hændelser skal overvåges og inkluderes i Windows-hændelsesloggen, kræver dine Active Directory Federation Services -servere (AD FS), AD CS-servere (Active Directory Certificate Services), Microsoft Entra Connect-servere eller domænecontrollere nøjagtige indstillinger for avanceret overvågningspolitik.
Du kan finde flere oplysninger under Konfigurer overvågningspolitikker for Windows-hændelseslogge.
Reference til påkrævede hændelser
I dette afsnit vises de Windows-hændelser, som Defender for Identity-sensoren kræver, når den installeres på AD FS-servere, AD CS-servere, Microsoft Entra Opret forbindelse-servere eller domænecontrollere.
Påkrævede AD FS-hændelser
Følgende hændelser er påkrævet for AD FS-servere:
- 1202: Federation Service validerede en ny legitimationsoplysninger
- 1203: Federation Service kunne ikke validere nye legitimationsoplysninger
- 4624: En konto blev logget på
- 4625: En konto kunne ikke logge på
Du kan få flere oplysninger under Konfigurer overvågning på Active Directory Federation Services.
Påkrævede AD CS-hændelser
Følgende hændelser er påkrævet for AD CS-servere:
- 4870: Certifikattjenester har tilbagekaldt et certifikat.
- 4882: Sikkerhedstilladelserne for Certifikattjenester blev ændret.
- 4885: Overvågningsfilteret for Certifikattjenester blev ændret.
- 4887: Certificate Services godkendte en certifikatanmodning og udstedte et certifikat
- 4888: Certificate Services afviste en certifikatanmodning
- 4890: Indstillingerne for Certifikatstyring for Certifikattjenester er ændret.
- 4896: En eller flere rækker er blevet slettet fra certifikatdatabasen
Du kan få flere oplysninger under Konfigurer overvågning for Certifikattjenester i Active Directory.
Påkrævede Microsoft Entra Connect-hændelser
Følgende hændelse er påkrævet for Microsoft Entra Forbindelsesservere:
- 4624: En konto blev logget på
Du kan få flere oplysninger under Konfigurer overvågning på Microsoft Entra Opret forbindelse.
Andre påkrævede Windows-hændelser
Følgende generelle Windows-hændelser er påkrævet for alle Defender for Identity-sensorer:
- 4662: Der blev udført en handling på et objekt
- 4726: Brugerkontoen er slettet.
- 4728: Medlem føjet til global sikkerhedsgruppe
- 4729: Medlem fjernet fra den globale sikkerhedsgruppe
- 4730: Global sikkerhedsgruppe slettet
- 4732: Medlem føjet til lokal sikkerhedsgruppe
- 4733: Medlem fjernet fra lokal sikkerhedsgruppe
- 4741: Computerkonto tilføjet
- 4743: Computerkonto slettet
- 4753: Global distributionsgruppe slettet
- 4756: Medlem føjet til Universal Security Group
- 4757: Medlem fjernet fra Universal Security Group
- 4758: Universel sikkerhedsgruppe slettet
- 4763: Universel distributionsgruppe slettet
- 4776: Domænecontroller forsøgte at validere legitimationsoplysninger for en konto (NTLM)
- 5136: Et katalogtjenesteobjekt blev ændret
- 7045: Ny tjeneste er installeret
- 8004: NTLM-godkendelse
Du kan få flere oplysninger under Konfigurer NTLM-overvågning og Konfigurer overvågning af domæneobjekter.
Hændelsessamling til separate sensorer
Hvis du arbejder med en separat Defender for Identity-sensor, skal du konfigurere hændelsessamling manuelt ved hjælp af en af følgende metoder:
- Lyt efter sikkerhedsoplysninger og SIEM-hændelser (Event Management) på din separate Defender for Identity-sensor. Defender for Identity understøtter UDP-trafik (User Datagram Protocol) fra dit SIEM-system eller din syslogserver.
- Konfigurer videresendelse af Windows-hændelse til din separate Sensor for Defender for Identity. Når du videresender syslog-data til en separat sensor, skal du sørge for ikke at videresende alle syslog-data til din sensor.
Vigtigt!
Defender for Identity standalone sensorer understøtter ikke indsamling af logposter for Hændelsessporing til Windows (ETW), der leverer dataene til flere registreringer. Hvis du vil have fuld dækning af dit miljø, anbefaler vi, at du installerer Defender for Identity-sensoren.
Du kan finde flere oplysninger i produktdokumentationen til SIEM-systemet eller syslog-serveren.