Jaa

Tapahtumakokoelma, jossa on Microsoft Defender for Identity

  • Artikkeli

Microsoft Defender for Identity tunnistin on määritetty keräämään syslog-tapahtumat automaattisesti. Windows-tapahtumissa Defender for Identity detection käyttää tiettyjä tapahtumalokeja. Tunnistin jäsentää nämä tapahtumalokit toimialueen ohjauskoneista.

Tapahtumakokoelma AD FS -palvelimille, AD CS -palvelimille, Microsoft Entra Connect-palvelimille ja toimialueen ohjauskoneille

Jotta oikeat tapahtumat voidaan valvoa ja sisällyttää Windowsin tapahtumalokiin, Active Directory -liittoutumispalvelut (AD FS) -palvelimet, Active Directory Certificate Services (AD CS) -palvelimet, Microsoft Entra Connect-palvelimet tai toimialueen ohjauskoneet edellyttävät tarkkoja valvontakäytännön lisäasetuksia.

Lisätietoja on kohdassa Windowsin tapahtumalokien valvontakäytäntöjen määrittäminen.

Pakollisten tapahtumien viite

Tässä osiossa luetellaan Windows-tapahtumat, joita Defender for Identity -tunnistin edellyttää, kun se asennetaan AD FS -palvelimiin, AD CS -palvelimiin, Microsoft Entra Connect-palvelimiin tai toimialueen ohjauskoneisiin.

Pakolliset AD FS -tapahtumat

Seuraavat tapahtumat ovat pakollisia AD FS -palvelimille:

  • 1202: Liittoutumispalvelu vahvisti uuden tunnistetiedot
  • 1203: Liittoutumispalvelu ei voinut vahvistaa uutta tunnistetietoa
  • 4624: Tilin sisäänkirjautuminen onnistui
  • 4625: Tilin kirjautuminen epäonnistui

Lisätietoja on kohdassa Valvonnan määrittäminen Active Directory -liittoutumispalvelut.

Pakolliset AD CS -tapahtumat

Seuraavat tapahtumat ovat pakollisia AD CS -palvelimille:

  • 4870: Varmennepalvelut kumosivat varmenteen
  • 4882: Varmennepalvelujen suojausoikeudet muuttuivat
  • 4885: Varmennepalvelujen valvontasuodatin muuttui
  • 4887: Varmennepalvelut hyväksyivät varmennepyynnön ja antoivat varmenteen
  • 4888: Varmennepalvelut eväsi varmennepyynnön
  • 4890: Varmennepalvelujen varmenteiden hallinta-asetukset muuttuivat
  • 4896: Vähintään yksi rivi on poistettu varmennetietokannasta

Lisätietoja on artikkelissa Active Directory -varmennepalvelujen valvonnan määrittäminen.

Pakolliset Microsoft Entra Yhdistä -tapahtumat

Yhteyden muodostaminen Microsoft Entra palvelimiin edellyttää seuraavaa tapahtumaa:

  • 4624: Tilin sisäänkirjautuminen onnistui

Lisätietoja on artikkelissa Valvonnan määrittäminen Microsoft Entra Yhdistä.

Muut pakolliset Windows-tapahtumat

Kaikkia Defender for Identity -tunnistimia varten tarvitaan seuraavat yleiset Windows-tapahtumat:

  • 4662: Objektille tehtiin toiminto
  • 4726: Käyttäjätili poistettu
  • 4728: Jäsen lisätty yleiseen käyttöoikeusryhmään
  • 4729: Jäsen poistettu maailmanlaajuisesta käyttöoikeusryhmästä
  • 4730: Yleinen käyttöoikeusryhmä poistettu
  • 4732: Jäsen lisätty paikalliseen käyttöoikeusryhmään
  • 4733: Jäsen poistettu paikallisesta käyttöoikeusryhmästä
  • 4741: Tietokonetili lisätty
  • 4743: Tietokonetili poistettu
  • 4753: Yleinen jakeluryhmä poistettu
  • 4756: Jäsen lisätty yleiseen käyttöoikeusryhmään
  • 4757: Jäsen poistettu universaalista käyttöoikeusryhmästä
  • 4758: Yleinen käyttöoikeusryhmä poistettu
  • 4763: Yleisjakeluryhmä poistettu
  • 4776: Toimialueen ohjauskone yritti vahvistaa tilin tunnistetiedot (NTLM)
  • 5136: Hakemistopalvelun objektia on muokattu
  • 7045: Uusi palvelu asennettu
  • 8004: NTLM-todennus

Lisätietoja on kohdassa NTLM-valvonnan määrittäminen ja Toimialueobjektien valvonnan määrittäminen.

Erillistunnistimen tapahtumakokoelma

Jos käytät itsenäistä Defender for Identity -tunnistinta, määritä tapahtumakokoelma manuaalisesti jollakin seuraavista menetelmistä:

Tärkeää

Defender for Identityn erilliset tunnistimet eivät tue Windowsin tapahtumien jäljityksen (ETW) lokimerkintöjen keräämistä, jotka antavat tiedot useita tunnistuksia varten. Suosittelemme, että otat Defender for Identity -tunnistimen käyttöön, jotta saat täyden kattavuuden ympäristöstäsi.

Lisätietoja on SIEM-järjestelmän tai syslog-palvelimen tuotedokumentaatiossa.

Seuraavat vaiheet

Windowsin tapahtumalokien valvontakäytäntöjen määrittäminen