Microsoft Defender for Identityを含むイベント コレクション

Microsoft Defender for Identity センサーは、syslog イベントを自動的に収集するように構成されています。 Windows イベントの場合、Defender for Identity 検出は特定のイベント ログに依存します。 センサーは、ドメイン コントローラーからこれらのイベント ログを解析します。

AD FS サーバー、AD CS サーバー、Microsoft Entra Connect サーバー、ドメイン コントローラーのイベント 収集

正しいイベントを監査して Windows イベント ログに含めるには、Active Directory フェデレーション サービス (AD FS) (AD FS) サーバー、Active Directory Certificate Services (AD CS) サーバー、Microsoft Entra Connect サーバー、またはドメイン コントローラーに、正確な高度な監査ポリシー設定が必要です。

詳細については、「 Windows イベント ログの監査ポリシーを構成する」を参照してください。

必要なイベントの参照

このセクションでは、Defender for Identity センサーが AD FS サーバー、AD CS サーバー、Microsoft Entra Connect サーバー、またはドメイン コントローラーにインストールされるときに必要な Windows イベントの一覧を示します。

必要な AD FS イベント

AD FS サーバーには、次のイベントが必要です。

• 1202: フェデレーション サービスが新しい資格情報を検証しました
• 1203: フェデレーション サービスが新しい資格情報を検証できませんでした
• 4624: アカウントが正常にログオンしました
• 4625: アカウントのログオンに失敗しました

詳細については、「Active Directory フェデレーション サービス (AD FS)での監査の構成」を参照してください。

必要な AD CS イベント

AD CS サーバーには、次のイベントが必要です。

• 4870: 証明書サービスが証明書を取り消しました
• 4882: Certificate Services のセキュリティアクセス許可が変更されました
• 4885: 証明書サービスの監査フィルターが変更されました
• 4887: 証明書サービスが証明書要求を承認し、証明書を発行しました
• 4888: 証明書サービスが証明書要求を拒否しました
• 4890: Certificate Services の証明書マネージャーの設定が変更されました
• 4896: 証明書データベースから 1 つ以上の行が削除されました

詳細については、「 Active Directory 証明書サービスの監査を構成する」を参照してください。

必要なMicrosoft Entra接続イベント

Microsoft Entra Connect サーバーには、次のイベントが必要です。

• 4624: アカウントが正常にログオンしました

詳細については、「Microsoft Entra Connect で監査を構成する」を参照してください。

その他の必要な Windows イベント

すべての Defender for Identity センサーには、次の一般的な Windows イベントが必要です。

• 4662: オブジェクトに対して操作が実行されました
• 4726: ユーザー アカウントが削除されました
• 4728: グローバル セキュリティ グループに追加されたメンバー
• 4729: グローバル セキュリティ グループからメンバーが削除されました
• 4730: グローバル セキュリティ グループが削除されました
• 4732: ローカル セキュリティ グループに追加されたメンバー
• 4733: ローカル セキュリティ グループから削除されたメンバー
• 4741: コンピューター アカウントが追加されました
• 4743: コンピューター アカウントが削除されました
• 4753: グローバル配布グループが削除されました
• 4756: ユニバーサル セキュリティ グループに追加されたメンバー
• 4757: ユニバーサル セキュリティ グループからメンバーが削除されました
• 4758: ユニバーサル セキュリティ グループが削除されました
• 4763: ユニバーサル配布グループが削除されました
• 4776: ドメイン コントローラーがアカウントの資格情報を検証しようとしました (NTLM)
• 5136: ディレクトリ サービス オブジェクトが変更されました
• 7045: 新しいサービスがインストールされました
• 8004: NTLM 認証

詳細については、「 NTLM 監査の構成 」および「 ドメイン オブジェクト監査の構成」を参照してください。

スタンドアロン センサーのイベント 収集

スタンドアロン Defender for Identity センサーを使用している場合は、次のいずれかの方法を使用して、イベント収集を手動で構成します。

• Defender for Identity スタンドアロン センサーでセキュリティ情報とイベント管理 (SIEM) イベントをリッスンします。 Defender for Identity は、SIEM システムまたは syslog サーバーからのユーザー データグラム プロトコル (UDP) トラフィックをサポートします。
• Defender for Identity スタンドアロン センサーへの Windows イベント転送を構成します。 Syslog データをスタンドアロン センサーに転送する場合は、 すべての syslog データをセンサーに転送しないようにしてください。

重要

Defender for Identity スタンドアロン センサーでは、複数の検出のデータを提供するイベント トレーシング for Windows (ETW) ログ エントリの収集はサポートされていません。 環境を完全にカバーするために、Defender for Identity センサーをデプロイすることをお勧めします。

詳細については、SIEM システムまたは syslog サーバーの製品ドキュメントを参照してください。

次の手順

Windows イベント ログの監査ポリシーを構成する