Collection d’événements avec Microsoft Defender pour Identity
Un capteur Microsoft Defender pour Identity est configuré pour collecter automatiquement les événements syslog. Pour les événements Windows, la détection de Defender pour Identity s’appuie sur des journaux d’événements spécifiques. Le capteur analyse ces journaux d’événements à partir de vos contrôleurs de domaine.
Collecte d’événements pour les serveurs AD FS, les serveurs AD CS, les serveurs Microsoft Entra Connect et les contrôleurs de domaine
Pour que les événements appropriés soient audités et inclus dans le journal des événements Windows, vos serveurs Services ADFS (AD FS), les serveurs des services de certificats Active Directory (AD CS), les serveurs Microsoft Entra Connect ou les contrôleurs de domaine nécessitent des paramètres de stratégie d’audit avancé précis.
Pour plus d’informations, consultez Configurer des stratégies d’audit pour les journaux des événements Windows.
Référence des événements requis
Cette section répertorie les événements Windows requis par le capteur Defender pour Identity lorsqu’il est installé sur des serveurs AD FS, des serveurs AD CS, des serveurs Microsoft Entra Connect ou des contrôleurs de domaine.
Événements AD FS requis
Les événements suivants sont requis pour les serveurs AD FS :
- 1202 : Le service de fédération a validé de nouvelles informations d’identification
- 1203 : Le service de fédération n’a pas pu valider de nouvelles informations d’identification
- 4624 : Un compte a été correctement connecté
- 4625 : Échec de la connexion d’un compte
Pour plus d’informations, consultez Configurer l’audit sur Services ADFS.
Événements AD CS requis
Les événements suivants sont requis pour les serveurs AD CS :
- 4870 : Les services de certificats ont révoqué un certificat
- 4882 : Les autorisations de sécurité pour les services de certificats ont été modifiées
- 4885 : Le filtre d’audit des services de certificats a été modifié
- 4887 : Les services de certificats ont approuvé une demande de certificat et émis un certificat
- 4888 : Les services de certificats ont refusé une demande de certificat
- 4890 : Les paramètres du gestionnaire de certificats pour les services de certificats ont été modifiés
- 4896 : Une ou plusieurs lignes ont été supprimées de la base de données de certificats
Pour plus d’informations, consultez Configurer l’audit pour les services de certificats Active Directory.
Événements Microsoft Entra Connect obligatoires
L’événement suivant est requis pour les serveurs Microsoft Entra Connect :
- 4624 : Un compte a été correctement connecté
Pour plus d’informations, consultez Configurer l’audit sur Microsoft Entra Connect.
Autres événements Windows requis
Les événements Windows généraux suivants sont requis pour tous les capteurs Defender pour Identity :
- 4662 : Une opération a été effectuée sur un objet
- 4726 : Compte d’utilisateur supprimé
- 4728 : Membre ajouté au groupe de sécurité global
- 4729 : Membre supprimé du groupe de sécurité global
- 4730 : Groupe de sécurité global supprimé
- 4732 : Membre ajouté au groupe de sécurité local
- 4733 : Membre supprimé du groupe de sécurité local
- 4741 : Compte d’ordinateur ajouté
- 4743 : Compte d’ordinateur supprimé
- 4753 : Groupe de distribution global supprimé
- 4756 : Membre ajouté au groupe de sécurité universel
- 4757 : Membre supprimé du groupe de sécurité universel
- 4758 : Groupe de sécurité universel supprimé
- 4763 : Groupe de distribution universel supprimé
- 4776 : Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte (NTLM)
- 5136 : Un objet de service d’annuaire a été modifié
- 7045 : Nouveau service installé
- 8004 : Authentification NTLM
Pour plus d’informations, consultez Configurer l’audit NTLM et Configurer l’audit des objets de domaine.
Collecte d’événements pour les capteurs autonomes
Si vous utilisez un capteur Defender pour Identity autonome, configurez manuellement la collecte d’événements à l’aide de l’une des méthodes suivantes :
- Écoutez les événements SIEM (Security Information and Event Management) sur votre capteur autonome Defender pour Identity. Defender pour Identity prend en charge le trafic UDP (User Datagram Protocol) à partir de votre système SIEM ou de votre serveur syslog.
- Configurez le transfert d’événements Windows vers votre capteur autonome Defender pour Identity. Lorsque vous transférez des données syslog vers un capteur autonome, veillez à ne pas transférer toutes les données syslog à votre capteur.
Importante
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal de suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Pour plus d’informations, consultez la documentation produit de votre système SIEM ou de votre serveur syslog.