Colección de eventos con Microsoft Defender for Identity

Se configura un sensor de Microsoft Defender for Identity para recopilar automáticamente eventos de Syslog. En el caso de los eventos de Windows, la detección de Defender for Identity se basa en registros de eventos específicos. El sensor analiza estos registros de eventos desde los controladores de dominio.

Recopilación de eventos para servidores de AD FS, servidores de AD CS, servidores de Microsoft Entra Connect y controladores de dominio

Para que los eventos correctos se auditen e incluyan en el registro de eventos de Windows, los servidores de Servicios de federación de Active Directory (AD FS) (AD FS), los servidores de Servicios de certificados de Active Directory (AD CS), los servidores de Microsoft Entra Connect o los controladores de dominio requieren una configuración de directiva de auditoría avanzada precisa.

Para obtener más información, vea Configurar directivas de auditoría para registros de eventos de Windows.

Referencia de eventos necesarios

En esta sección se enumeran los eventos de Windows que requiere el sensor de Defender for Identity cuando se instala en servidores de AD FS, servidores de AD CS, servidores de Microsoft Entra Connect o controladores de dominio.

Eventos de AD FS necesarios

Los siguientes eventos son necesarios para los servidores de AD FS:

• 1202: El servicio de federación validó una nueva credencial
• 1203: El servicio de federación no pudo validar una nueva credencial
• 4624: Una cuenta se ha iniciado sesión correctamente
• 4625: No se pudo iniciar sesión en una cuenta

Para obtener más información, vea Configurar la auditoría en Servicios de federación de Active Directory (AD FS).

Eventos de AD CS necesarios

Los siguientes eventos son necesarios para los servidores de AD CS:

• 4870: Certificate Services revoca un certificado
• 4882: Los permisos de seguridad de Certificate Services han cambiado
• 4885: Se ha cambiado el filtro de auditoría de Servicios de certificados.
• 4887: Certificate Services aprobó una solicitud de certificado y emitió un certificado.
• 4888: Servicios de certificado denegado una solicitud de certificado
• 4890: Se ha cambiado la configuración del administrador de certificados para Servicios de certificados.
• 4896: Se han eliminado una o varias filas de la base de datos de certificados

Para obtener más información, vea Configurar la auditoría para Servicios de certificados de Active Directory.

Eventos Microsoft Entra Connect necesarios

El siguiente evento es necesario para los servidores de Microsoft Entra Connect:

• 4624: Una cuenta se ha iniciado sesión correctamente

Para obtener más información, vea Configurar la auditoría en Microsoft Entra Connect.

Otros eventos de Windows necesarios

Los siguientes eventos generales de Windows son necesarios para todos los sensores de Defender for Identity:

• 4662: Se realizó una operación en un objeto
• 4726: Cuenta de usuario eliminada
• 4728: Miembro agregado al grupo de seguridad global
• 4729: Miembro quitado del grupo de seguridad global
• 4730: Grupo de seguridad global eliminado
• 4732: Miembro agregado al grupo de seguridad local
• 4733: Miembro quitado del grupo de seguridad local
• 4741: Cuenta de equipo agregada
• 4743: Cuenta de equipo eliminada
• 4753: Grupo de distribución global eliminado
• 4756: Miembro agregado al grupo de seguridad universal
• 4757: Miembro quitado del grupo de seguridad universal
• 4758: Grupo de seguridad universal eliminado
• 4763: Grupo de distribución universal eliminado
• 4776: El controlador de dominio intentó validar las credenciales de una cuenta (NTLM)
• 5136: Se modificó un objeto de servicio de directorio
• 7045: Nuevo servicio instalado
• 8004: Autenticación NTLM

Para obtener más información, vea Configurar la auditoría NTLM y Configurar la auditoría de objetos de dominio.

Colección de eventos para sensores independientes

Si está trabajando con un sensor independiente de Defender for Identity, configure la recopilación de eventos manualmente mediante uno de los métodos siguientes:

• Escuche la información de seguridad y los eventos de administración de eventos (SIEM) en el sensor independiente de Defender for Identity. Defender for Identity admite el tráfico del Protocolo de datagramas de usuario (UDP) desde el sistema SIEM o el servidor syslog.
• Configure el reenvío de eventos de Windows al sensor independiente de Defender for Identity. Cuando reenvíe datos de Syslog a un sensor independiente, asegúrese de no reenviar todos los datos de Syslog al sensor.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa del entorno, se recomienda implementar el sensor de Defender for Identity.

Para obtener más información, consulte la documentación del producto para el sistema SIEM o el servidor syslog.

Paso siguiente

Configuración de directivas de auditoría para registros de eventos de Windows