Ereignissammlung mit Microsoft Defender for Identity
Ein Microsoft Defender for Identity-Sensor ist so konfiguriert, dass Syslog-Ereignisse automatisch erfasst werden. Bei Windows-Ereignissen basiert die Defender for Identity-Erkennung auf bestimmten Ereignisprotokollen. Der Sensor analysiert diese Ereignisprotokolle von Ihren Domänencontrollern.
Ereignissammlung für AD FS-Server, AD CS-Server, Microsoft Entra Connect-Server und Domänencontroller
Damit die richtigen Ereignisse überwacht und im Windows-Ereignisprotokoll enthalten sind, benötigen Ihre Active Directory-Verbunddienste (AD FS)(AD FS)-Server, Active Directory-Zertifikatdienste (AD CS)-Server, Microsoft Entra Connect-Server oder Domänencontroller genaue „Erweiterte Überwachungsrichtlinieneinstellungen“.
Weitere Informationen finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.
Verweis auf erforderliche Ereignisse
In diesem Abschnitt werden die Windows-Ereignisse aufgelistet, die der Defender for Identity-Sensor benötigt, wenn er auf AD FS-Servern, AD CS-Servern, Microsoft Entra Connect-Servern oder Domänencontrollern installiert wird.
Erforderliche AD FS-Ereignisse
Die folgenden Ereignisse sind für AD FS-Server erforderlich:
- 1202: Der Föderationsdienst hat neue Anmeldeinformationen validiert
- 1203: Der Föderationsdienst konnte die neuen Anmeldeinformationen nicht validieren
- 4624: Ein Konto wurde erfolgreich angemeldet
- 4625: Ein Konto konnte sich nicht anmelden
Weitere Informationen finden Sie im Konfigurieren der Überwachung für Active Directory-Föderationsdienste.
Erforderliche AD CS-Ereignisse
Die folgenden Ereignisse sind für AD CS-Server erforderlich:
- 4870: Die Zertifikatdienste haben ein Zertifikat gesperrt.
- 4882: Die Sicherheitsberechtigungen für die Zertifikatdienste wurden geändert.
- 4885: Der Überwachungsfilter für die Zertifikatdienste wurde geändert.
- 4887: Die Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
- 4888: Die Zertifikatdienste haben eine Zertifikatanforderung abgelehnt.
- 4890: Die Zertifikatverwaltungseinstellungen für die Zertifikatdienste wurden geändert.
- 4896: Eine oder mehrere Zeilen wurden aus der Zertifikatdatenbank gelöscht.
Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienstereignisse.
Erforderliche Microsoft Entra Connect-Ereignisse
Das folgende Ereignis ist für Microsoft Entra Connect-Server erforderlich:
- 4624: Ein Konto wurde erfolgreich angemeldet
Weitere Informationen finden Sie unter Konfigurieren der Überwachung auf Microsoft Entra Connect.
Andere erforderliche Windows-Ereignisse
Die folgenden allgemeinen Windows-Ereignisse sind für alle Defender for Identity-Sensoren erforderlich:
- 4662: Für ein Objekt wurde ein Vorgang ausgeführt
- 4726: Benutzerkonto wurde gelöscht
- 4728: Mitglied wurde der globalen Sicherheitsgruppe hinzugefügt
- 4729: Mitglied aus der globalen Sicherheitsgruppe entfernt
- 4730: Globale Sicherheitsgruppe gelöscht
- 4732: Mitglied wurde der lokalen Sicherheitsgruppe hinzugefügt
- 4733: Mitglied aus lokaler Sicherheitsgruppe entfernt
- 4741: Computerkonto hinzugefügt
- 4743: Computerkonto gelöscht
- 4753: Globale Verteilergruppe gelöscht
- 4756: Mitglied wurde der universellen Sicherheitsgruppe hinzugefügt
- 4757: Mitglied aus der universellen Sicherheitsgruppe entfernt
- 4758: Universelle Sicherheitsgruppe gelöscht
- 4763: Universelle Verteilergruppe gelöscht
- 4776: Domänencontroller hat versucht, Anmeldeinformationen für ein Konto zu überprüfen (NTLM)
- 5136: Ein Verzeichnisdienstobjekt wurde geändert
- 7045: Neuer Dienst installiert
- 8004: NTLM-Authentifizierung
Weitere Informationen finden Sie unter Konfigurieren der NTLM-Überwachung und Konfigurieren von Do Standard Objektüberwachung.
Ereignissammlung für eigenständige Sensoren
Wenn Sie mit einem eigenständigen Microsoft Defender for Identity-Sensor arbeiten, konfigurieren Sie die Ereignissammlung manuell, indem Sie eine der folgenden Methoden verwenden:
- Überwachen der Sicherheitsinformationen und Ereignisverwaltungsereignisse (SIEM) auf Ihrem eigenständigen Defender for Identity-Sensor. Microsoft Defender for Identity unterstützt UDP-Datenverkehr (User Datagram Protocol) von Ihrem SIEM-System oder Ihrem Syslog-Server.
- Konfigurieren der Windows-Ereignisweiterleitung an ihren eigenständigen Defender for Identity-Sensor Wenn Sie Syslog-Daten an einen eigenständigen Sensor weiterleiten, stellen Sie sicher, dass Sie nicht alle Syslog-Daten an Ihren Sensor weiterleiten.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.
Weitere Informationen finden Sie in der Produktdokumentation für Ihr SIEM-System oder Ihren Syslog-Server.