Windowsin tapahtumalokien valvontakäytäntöjen määrittäminen
Parantaakseen tunnistuksia ja kerätäkseen lisätietoja käyttäjän toiminnoista, kuten NTLM-kirjautumisista ja käyttöoikeusryhmän muutoksista, Microsoft Defender for Identity käyttää tiettyjä merkintöjä Windowsin tapahtumalokeissa. Tarkennetun valvontakäytännön asetusten asianmukainen määritys toimialueen ohjauskoneissa on ratkaisevan tärkeää, jotta vältetään tapahtumalokien aukot ja epätäydellinen Defender for Identity -kattavuus.
Tässä artikkelissa kuvataan, miten voit määrittää lisävalvontakäytännön asetukset defender for Identity -tunnistimen tarpeen mukaan. Siinä kuvataan myös muita tiettyjen tapahtumatyyppien määrityksiä.
Defender for Identity luo kunto-ongelmia jokaiselle näistä skenaarioista, jos ne havaitaan. Lisätietoja on artikkelissa Microsoft Defender for Identity kunto-ongelmat.
Ennakkovaatimukset
- Ennen kuin suoritat Defender for Identity PowerShell -komennot, varmista, että latasit Defender for Identity PowerShell -moduulin.
Raportin luominen nykyisistä määrityksistä PowerShellin kautta
Ennen kuin aloitat uusien tapahtuma- ja valvontakäytäntöjen luomisen, suosittelemme, että luot raportin nykyisistä toimialuemäärityksistäsi suorittamalla seuraavan PowerShell-komennon:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Edellisessä komennossa:
-
Path
määrittää polun, jossa raportit tallennetaan. -
Mode
määrittää, haluatko käyttääDomain
vaiLocalMachine
käyttää tilaa. TilassaDomain
asetukset kerätään ryhmäkäytäntö-objekteista. TilassaLocalMachine
asetukset kerätään paikallisesta tietokoneesta. -
OpenHtmlReport
avaa HTML-raportin raportin luomisen jälkeen.
Jos haluat esimerkiksi luoda raportin ja avata sen oletusselaimessa, suorita seuraava komento:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Lisätietoja on DefenderforIdentity PowerShell -viittauksessa.
Vihje
Tilaraportti Domain
sisältää vain toimialueen ryhmäkäytännöiksi määritettyjä määrityksiä. Jos asetukset on määritetty paikallisesti toimialueen ohjauskoneessa, suosittelemme, että suoritat myös Test-MdiReadiness.ps1 komentosarjan.
Toimialueen ohjauskoneiden valvonnan määrittäminen
Päivitä valvontakäytännön lisäasetukset ja lisämääritykset tiettyjä tapahtumia ja tapahtumatyyppejä, kuten käyttäjiä, ryhmiä, tietokoneita ja muita, varten. Toimialueen ohjauskoneiden valvontamäärityksiä ovat muun muassa seuraavat:
- Valvontakäytännön lisäasetukset
- NTLM-valvonta
- Toimialueobjektien valvonta
Lisätietoja on artikkelissa Kehittyneen suojauksen valvonnan usein kysytyt kysymykset.
Seuraavien ohjeiden avulla voit määrittää valvonnan toimialueen ohjauskoneissa, joita käytät Defender for Identityn kanssa.
Valvontakäytännön lisäasetusten määrittäminen käyttöliittymästä
Tässä ohjeartikkelissa kuvataan, miten voit muokata toimialueen ohjauskoneen kehittyneitä valvontakäytäntöasetuksia tarvittaessa Defender for Identitylle käyttöliittymän kautta.
Liittyvä kunto-ongelma:Hakemistopalveluiden kehittynyt valvonta ei ole käytössä tarpeen mukaan
Voit määrittää valvontakäytännön lisäasetukset seuraavasti:
Kirjaudu palvelimeen toimialueen järjestelmänvalvojana.
Avaa ryhmäkäytäntö Management -Kirjoitusavustaja Server Manager>Tools>ryhmäkäytäntö Managementista.
Laajenna Toimialueen ohjauskoneet Organisaatioyksiköt, napsauta hiiren kakkospainikkeella Oletustoimialueen ohjauskonekäytäntö ja valitse sitten Muokkaa.
Huomautus
Määritä nämä käytännöt toimialueen oletusohjainkäytännön tai varatun ryhmäkäytäntöobjektin avulla.
Valitse avautuvassa ikkunassa Tietokoneasetukset>Käytännöt>Windowsin asetukset>Suojausasetukset. Riippuen käytännöstä, jonka haluat ottaa käyttöön, toimi seuraavasti:
Siirry kohtaan Kehittyneet valvontakäytännön määritysten>valvontakäytännöt.
Muokkaa valvontakäytäntöjä -kohdassa kutakin seuraavista käytännöistä ja valitse Määritä seuraavat valvontatapahtumat sekä onnistumis - että epäonnistumistapahtumille .
Valvontakäytäntö Alakategoria Käynnistää tapahtumatunnukset Tilin kirjautuminen Tunnistetietojen valvonnan vahvistus 4776 Tilinhallinta Valvo tietokonetilien hallintaa* 4741, 4743 Tilinhallinta Valvontajakeluryhmien hallinta* 4753, 4763 Tilinhallinta Käyttöoikeusryhmien hallinnan valvonta* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Tilinhallinta Valvo käyttäjätilien hallintaa 4726 DS Access Valvontahakemistopalvelun muutokset* 5136 Järjestelmä Valvontasuojausjärjestelmän laajennus* 7045 DS Access Valvontahakemistopalvelun käyttö 4662 - Tätä tapahtumaa varten sinun on myös määritettävä toimialueen objektien valvonta. Huomautus
* Huomattavat aliluokat eivät tue virhetapahtumia. Suosittelemme kuitenkin lisäämään ne auditointitarkoituksiin, jos ne otetaan käyttöön tulevaisuudessa. Lisätietoja on kohdassa Tietokonetilien hallinta, Valvontakäyttöoikeusryhmien hallinta ja Valvontasuojausjärjestelmän laajennus.
Jos haluat esimerkiksi määrittää valvontaoikeusryhmän hallinnan, kaksoisnapsauta Tilin hallinta -kohdassa Valvontakäyttöoikeusryhmän hallinta -kohtaa ja valitse sitten Määritä seuraavat valvontatapahtumat sekä onnistumis - että epäonnistumistapahtumille .
Kirjoita järjestelmänvalvojan oikeutetun komentokehotteen avulla
gpupdate
.Kun olet soveltanut käytäntöä GPO:n kautta, noudata, että uudet tapahtumat näkyvät Tapahtumienvalvonta kohdassa Windows Logs>Security.
Voit testata valvontakäytäntöjäsi komentoriviltä suorittamalla seuraavan komennon:
auditpol.exe /get /category:*
Lisätietoja on auditpol-ohjeissa.
Määritä valvontakäytännön lisäasetukset PowerShellin avulla
Seuraavissa toiminnoissa kuvataan, miten voit muokata toimialueen ohjauskoneen kehittyneitä valvontakäytäntöasetuksia Tarvittaessa Defender for Identity -kohteelle PowerShellin avulla.
Liittyvä kunto-ongelma:Hakemistopalveluiden kehittynyt valvonta ei ole käytössä tarpeen mukaan
Voit määrittää asetukset suorittamalla:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Edellisessä komennossa:
-
Mode
määrittää, haluatko käyttääDomain
vaiLocalMachine
käyttää tilaa. TilassaDomain
asetukset kerätään ryhmäkäytäntö-objekteista. TilassaLocalMachine
asetukset kerätään paikallisesta tietokoneesta. -
Configuration
määrittää määritettävät määritykset. Määritä kaikki määritykset -määrityksen avullaAll
. -
CreateGpoDisabled
määrittää, luodaanko ne ja pidetäänkö ne poissa käytöstä. -
SkipGpoLink
määrittää, että ryhmäkäytäntöobjektin linkkejä ei luoda. -
Force
määrittää, että määritys on määritetty tai että yleislääkärit luodaan vahvistamatta nykyistä tilaa.
Jos haluat tarkastella valvontakäytäntöjäsi, näytä nykyiset arvot komennolla Get-MDIConfiguration
:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Edellisessä komennossa:
-
Mode
määrittää, haluatko käyttääDomain
vaiLocalMachine
käyttää tilaa. TilassaDomain
asetukset kerätään ryhmäkäytäntö-objekteista. TilassaLocalMachine
asetukset kerätään paikallisesta tietokoneesta. -
Configuration
määrittää, minkä määrityksen haluat noutaa. KäytäAll
-määrityksen hakemiseen.
Jos haluat testata valvontakäytäntöjä, hae komento tai true
false
vastaus siitä, Test-MDIConfiguration
onko arvot määritetty oikein:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Edellisessä komennossa:
-
Mode
määrittää, haluatko käyttääDomain
vaiLocalMachine
käyttää tilaa. TilassaDomain
asetukset kerätään ryhmäkäytäntö-objekteista. TilassaLocalMachine
asetukset kerätään paikallisesta tietokoneesta. -
Configuration
määrittää testattavan määrityksen. KäytäAll
kaikkien määritysten testaamiseen.
Lisätietoja on seuraavissa DefenderForIdentity PowerShell -viittauksissa:
NTLM-valvonnan määrittäminen
Tässä osiossa kuvataan ylimääräiset määritysvaiheet, joita tarvitset Windows-tapahtuman 8004 valvontaa varten.
Huomautus
- Toimialueen ryhmäkäytäntöjä Windows-tapahtuman 8004 keräämiseksi tulee käyttää vain toimialueen ohjauskoneisiin.
- Kun Defender for Identity -tunnistin jäsentää Windows-tapahtuman 8004, Defender for Identityn NTLM-todennustoiminnot täydentyvät palvelimeen liitetyillä tiedoilla.
Liittyvä kunto-ongelma:NTLM-valvonta ei ole käytössä
NTLM-valvonnan määrittäminen:
Kun olet määrittänyt ensimmäiset valvontakäytännön lisäasetukset (käyttöliittymän tai PowerShellin kautta), avaa ryhmäkäytäntö Management. Siirry sitten kohtaan Oletustoimialueen ohjauskoneet Käytäntö>Paikalliset käytännöt>Suojausasetukset.
Määritä määritetyt suojauskäytännöt seuraavasti:
Suojauskäytäntöasetus Arvo Verkon suojaus: Rajoita NTLM: Lähtevä NTLM-liikenne etäpalvelimiin Kaikkien valvominen Verkon suojaus: NTLM-valvonnan rajoittaminen: NTLM-todennuksen valvonta tällä toimialueella Ota kaikki käyttöön Verkon suojaus: Rajoita NTLM: Valvo saapuvaa NTLM-liikennettä Ota valvonta käyttöön kaikille tileille
Jos haluat esimerkiksi määrittää lähtevän NTLM-liikenteen etäpalvelimiin, kaksoisnapsauta Suojausasetukset-kohdassaverkon suojausta: Rajoita NTLM: Lähtevä NTLM-liikenne etäpalvelimiin ja valitse sitten Valvo kaikkia.
Määritä toimialueen objektien valvonta
Jos haluat kerätä objektimuutosten tapahtumia, kuten tapahtumaa 4662, sinun on määritettävä myös objektien valvonta käyttäjälle, ryhmälle, tietokoneelle ja muille objekteille. Seuraavassa kuvataan, miten valvonta otetaan käyttöön Active Directory -toimialueessa.
Tärkeää
Tarkista ja valvo käytäntöjäsi ( käyttöliittymän tai PowerShellin kautta), ennen kuin otat tapahtumakokoelman käyttöön, varmistaaksesi, että toimialueen ohjauskoneet on määritetty oikein tallentamaan tarvittavat tapahtumat. Jos tämä valvonta on määritetty oikein, sillä pitäisi olla pieni vaikutus palvelimen suorituskykyyn.
Liittyvä kunto-ongelma:Hakemistopalveluiden objektien valvonta ei ole käytössä vaaditulla tavalla
Toimialueobjektien valvonnan määrittäminen:
Siirry Active Directoryn käyttäjät ja tietokoneet konsoliin.
Valitse toimialue, jota haluat valvoa.
Valitse Näytä-valikko ja valitse sitten Lisäominaisuudet.
Napsauta toimialuetta hiiren kakkospainikkeella ja valitse Ominaisuudet.
Siirry Suojaus-välilehteen ja valitse sitten Lisäasetukset.
Valitse Lisäsuojausasetukset-kohdassaValvonta-välilehti ja valitse sitten Lisää.
Valitse Valitse päänimi.
Kirjoita valittavan objektin nimi -kohtaanKaikki. Valitse sitten Tarkista nimet>OK.
Palaat sitten valvontatapahtumaan. Tee seuraavat valinnat:
Valitse Tyyppi-kohdassaOnnistui.
Valitse Koskee-kohteelleDescendant User -objektit.
Vieritä Käyttöoikeudet-kohdassa alaspäin ja valitse Tyhjennä kaikki -painike.
Vieritä takaisin ylöspäin ja valitse Täydet oikeudet. Kaikki käyttöoikeudet on valittu.
Tyhjennä luettelon sisällön valinta, Lue kaikki ominaisuudet ja Lukuoikeudet ja valitse sitten OK. Tämä vaihe määrittää kaikkien ominaisuuksien asetukseksi Kirjoitus.
Nyt kaikki hakemistopalveluiden olennaiset muutokset näkyvät 4662-tapahtumina, kun ne käynnistetään.
Toista tämän toimintosarjan vaiheet, mutta valitse Seuraavat objektityypit kohdassa Koskee:
- Aliryhmän objektit
- Alikohteen tietokoneobjektit
- Descendant msDS-GroupManagedServiceAccount Objects
- Descendant msDS-ManagedServiceAccount -objektit
Huomautus
Valvontaoikeuksien määrittäminen kaikille aliobjekteille toimisi myös, mutta tarvitset vain edellisessä vaiheessa eritellyt objektityypit.
Valvonnan määrittäminen AD FS:ssä
Liittyvä kunto-ongelma:AD FS -säilön valvonta ei ole käytössä vaaditulla tavalla
Valvonnan määrittäminen Active Directory -liittoutumispalvelut (AD FS):
Siirry Active Directoryn käyttäjät ja tietokoneet konsoliin ja valitse toimialue, jossa haluat ottaa lokit käyttöön.
Siirry kohtaan Ohjelmatiedot>Microsoft>ADFS.
Napsauta hiiren kakkospainikkeella ADFS ja valitse Ominaisuudet.
Siirry Suojaus-välilehteen ja valitse Lisäsuojauksen lisäasetukset>. Siirry sitten Valvonta-välilehteen ja valitse Lisää Valitse>päänimi.
Kirjoita valittavan objektin nimi -kohtaanKaikki. Valitse sitten Tarkista nimet>OK.
Palaat sitten valvontatapahtumaan. Tee seuraavat valinnat:
- Valitse Tyyppi-kohdassaKaikki.
- Valitse Koskee-kohteelleTämä objekti ja kaikki aliobjektit.
- Vieritä Alaspäin Käyttöoikeudet-kohdassa ja valitse Tyhjennä kaikki. Vieritä ylöspäin ja valitse Lue kaikki ominaisuudet ja Kirjoita kaikki ominaisuudet.
Valitse OK.
Määritä AD FS -tapahtumien yksityiskohtainen kirjaaminen
AD FS -palvelimilla suoritettavien tunnistimien valvontatason on oltava Yksityiskohtainen asianmukaisia tapahtumia varten. Määritä esimerkiksi seuraavan komennon avulla valvontataso yksityiskohtaisesti:
Set-AdfsProperties -AuditLevel Verbose
Valvonnan määrittäminen AD CS:ssä
Jos käsittelet erillistä palvelinta, johon on määritetty Active Directory -varmennepalvelut (AD CS), määritä valvonta seuraavasti, jotta voit tarkastella erillisiä ilmoituksia ja suojauspisteraportteja:
Luo ryhmäkäytäntö, jota käytetään AD CS -palvelimessa. Muokkaa sitä ja määritä seuraavat valvonta-asetukset:
Siirry kohtaan Tietokoneasetukset\Käytännöt\Windowsin asetukset\Suojausasetukset\Lisävalvontakäytännön määritys\Valvontakäytännöt\Objektin käyttö\Sertifiointipalvelut.
Valitse valintaruutu, jos haluat määrittää onnistumisen ja epäonnistumisen valvontatapahtumat.
Määritä valvonta varmenteiden myöntäjässä (CA) jollakin seuraavista menetelmistä:
Jos haluat määrittää varmenteiden myöntäjän valvonnan komentorivin avulla, suorita:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Varmenteiden myöntäjän valvonnan määrittäminen GUI:n avulla:
Valitse Käynnistä>varmenteiden myöntäjä (MMC-työpöytäsovellus). Napsauta hiiren kakkospainikkeella varmenteiden myöntäjän nimeä ja valitse Ominaisuudet.
Valitse Valvonta-välilehti , valitse kaikki tapahtumat, joita haluat valvoa, ja valitse sitten Käytä.
Huomautus
Active Directory -varmennepalveluiden aloitus- ja lopetustapahtumien valvonnan määrittäminen voi aiheuttaa uudelleenkäynnistysviiveitä, kun kyseessä on suuri AD CS -tietokanta. Harkitse merkityksettömien merkintöjen poistamista tietokannasta. Vaihtoehtoisesti voit pidättäytyä tämäntyyppisen tapahtuman käyttöönotosta.
Valvonnan määrittäminen yhteyden Microsoft Entra yhteydessä
Valvontatoiminnon määrittäminen Microsoft Entra Yhdistä palvelimet:
Luo ryhmäkäytäntö, jota käytetään Microsoft Entra Yhdistä palvelimet. Muokkaa sitä ja määritä seuraavat valvonta-asetukset:
Siirry kohtaan Tietokoneasetukset\Käytännöt\Windowsin asetukset\Suojausasetukset\Lisävalvontakäytännön määritykset\Valvontakäytännöt\Kirjautuminen/Uloskirjautuminen\Valvontakirjautuminen.
Valitse valintaruutu, jos haluat määrittää onnistumisen ja epäonnistumisen valvontatapahtumat.
Valvonnan määrittäminen määrityssäilössä
Huomautus
Määrityssäilön valvonta on varattu vain ympäristöille, joissa on tai on aiemmin ollut Microsoft Exchange, koska näissä ympäristöissä Exchange-säilö sijaitsee toimialueen Määritys-osassa.
Aiheeseen liittyvä kunto-ongelma:Määrityssäilön valvonta ei ole käytössä vaaditulla tavalla
Avaa ADSI-muokkaustyökalu. Valitse Käynnistä>Suorita, kirjoita
ADSIEdit.msc
ja valitse sitten OK.Valitse Toiminto-valikostaYhdistä kohteeseen.
Valitse Yhteysasetukset-valintaikkunanValitse tunnettu nimeämiskonteksti -kohdassa Määritys>OK.
Laajenna Kokoonpano-säilö näyttääksesi määrityssolmun , joka alkaa merkkijonolla "CN=Configuration,DC=...".
Napsauta Kokoonpano-solmua hiiren kakkospainikkeella ja valitse Ominaisuudet.
Valitse Suojaus-välilehti ja valitse sitten Lisäasetukset.
Valitse Lisäsuojausasetukset-kohdassaValvonta-välilehti ja valitse sitten Lisää.
Valitse Valitse päänimi.
Kirjoita valittavan objektin nimi -kohtaanKaikki. Valitse sitten Tarkista nimet>OK.
Palaat sitten valvontatapahtumaan. Tee seuraavat valinnat:
- Valitse Tyyppi-kohdassaKaikki.
- Valitse Koskee-kohteelleTämä objekti ja kaikki aliobjektit.
- Vieritä Alaspäin Käyttöoikeudet-kohdassa ja valitse Tyhjennä kaikki. Vieritä ylöspäin ja valitse Kirjoita kaikki ominaisuudet.
Valitse OK.
Vanhojen kokoonpanojen päivittäminen
Defender for Identity ei enää edellytä 1644-tapahtumien kirjaamista lokiin. Jos jompikumpi seuraavista asetuksista on käytössä, voit poistaa ne rekisteristä.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa:
- Tapahtumakokoelma, jossa on Microsoft Defender for Identity
- Windowsin suojauksen valvonta
- Kehittyneet suojauksen valvontakäytännöt