Ereignissammlung mit Microsoft Defender for Identity

Ein Microsoft Defender for Identity Sensor ist für die automatische Erfassung von Syslog-Ereignissen konfiguriert. Bei Windows-Ereignissen basiert die Defender for Identity-Erkennung auf bestimmten Ereignisprotokollen. Der Sensor analysiert diese Ereignisprotokolle von Ihren Domänencontrollern.

Ereignissammlung für AD FS-Server, AD CS-Server, Microsoft Entra Connect-Server und Domänencontroller

Damit die richtigen Ereignisse überwacht und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Active Directory-Verbunddienste (AD FS)-Server (AD FS), AD CS-Server (Active Directory Certificate Services), Microsoft Entra Connect-Server oder Domänencontroller genaue Erweiterte Überwachungsrichtlinieneinstellungen.

Weitere Informationen finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.

Verweis auf erforderliche Ereignisse

In diesem Abschnitt werden die Windows-Ereignisse aufgeführt, die der Defender for Identity-Sensor benötigt, wenn er auf AD FS-Servern, AD CS-Servern, Microsoft Entra Connect-Servern oder Domänencontrollern installiert wird.

Erforderliche AD FS-Ereignisse

Die folgenden Ereignisse sind für AD FS-Server erforderlich:

• 1202: Der Verbunddienst hat neue Anmeldeinformationen überprüft.
• 1203: Fehler beim Überprüfen neuer Anmeldeinformationen durch den Verbunddienst
• 4624: Ein Konto wurde erfolgreich angemeldet
• 4625: Konto konnte sich nicht anmelden

Weitere Informationen finden Sie unter Konfigurieren der Überwachung auf Active Directory-Verbunddienste (AD FS).

Erforderliche AD CS-Ereignisse

Die folgenden Ereignisse sind für AD CS-Server erforderlich:

• 4870: Zertifikatdienste haben ein Zertifikat widerrufen
• 4882: Die Sicherheitsberechtigungen für Zertifikatdienste wurden geändert.
• 4885: Der Überwachungsfilter für Zertifikatdienste wurde geändert.
• 4887: Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
• 4888: Zertifikatdienste haben eine Zertifikatanforderung verweigert
• 4890: Die Zertifikat-Manager-Einstellungen für Zertifikatdienste wurden geändert.
• 4896: Mindestens eine Zeile wurde aus der Zertifikatdatenbank gelöscht.

Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienste.

Erforderliche Microsoft Entra Connect-Ereignisse

Das folgende Ereignis ist für Microsoft Entra Connect-Server erforderlich:

• 4624: Ein Konto wurde erfolgreich angemeldet

Weitere Informationen finden Sie unter Konfigurieren der Überwachung auf Microsoft Entra Connect.

Andere erforderliche Windows-Ereignisse

Die folgenden allgemeinen Windows-Ereignisse sind für alle Defender for Identity-Sensoren erforderlich:

• 4662: Ein Vorgang wurde für ein Objekt ausgeführt
• 4726: Benutzerkonto gelöscht
• 4728: Mitglied zur globalen Sicherheitsgruppe hinzugefügt
• 4729: Mitglied aus der globalen Sicherheitsgruppe entfernt
• 4730: Globale Sicherheitsgruppe gelöscht
• 4732: Mitglied zur lokalen Sicherheitsgruppe hinzugefügt
• 4733: Mitglied aus lokaler Sicherheitsgruppe entfernt
• 4741: Computerkonto hinzugefügt
• 4743: Computerkonto gelöscht
• 4753: Globale Verteilergruppe gelöscht
• 4756: Mitglied zur universellen Sicherheitsgruppe hinzugefügt
• 4757: Mitglied aus universeller Sicherheitsgruppe entfernt
• 4758: Universelle Sicherheitsgruppe gelöscht
• 4763: Universelle Verteilergruppe gelöscht
• 4776: Domänencontroller hat versucht, Anmeldeinformationen für ein Konto zu überprüfen (NTLM)
• 5136: Ein Verzeichnisdienstobjekt wurde geändert
• 7045: Neuer Dienst installiert
• 8004: NTLM-Authentifizierung

Weitere Informationen finden Sie unter Konfigurieren der NTLM-Überwachung und Konfigurieren der Domänenobjektüberwachung.

Ereignissammlung für eigenständige Sensoren

Wenn Sie mit einem eigenständigen Defender for Identity-Sensor arbeiten, konfigurieren Sie die Ereignissammlung manuell mit einer der folgenden Methoden:

• Lauschen auf SIEM-Ereignisse (Security Information and Event Management) auf Ihrem eigenständigen Defender for Identity-Sensor. Defender for Identity unterstützt UDP-Datenverkehr (User Datagram Protocol) von Ihrem SIEM-System oder Ihrem Syslog-Server.
• Konfigurieren Sie die Windows-Ereignisweiterleitung an Ihren eigenständigen Defender for Identity-Sensor. Wenn Sie Syslog-Daten an einen eigenständigen Sensor weiterleiten, stellen Sie sicher, dass Sie nicht alle Syslog-Daten an Ihren Sensor weiterleiten.

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Sammlung von ETW-Protokolleinträgen (Event Tracing for Windows), die die Daten für mehrere Erkennungen bereitstellen. Für eine vollständige Abdeckung Ihrer Umgebung empfehlen wir die Bereitstellung des Defender for Identity-Sensors.

Weitere Informationen finden Sie in der Produktdokumentation für Ihr SIEM-System oder Ihren Syslog-Server.

Nächster Schritt

Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle