Microsoft Defender for Identity によるイベント収集
AD FS サーバー、AD CS サーバー、Microsoft Entra Connect サーバー、およびドメイン コントローラー上の Microsoft Defender for Identity センサーに必要なイベント収集について説明します。 Windows イベントの場合、Defender for Identity の検出は特定のイベント ログに依存します。 センサーはドメイン コントローラーからのこれらのイベント ログを解析します。
AD FS サーバー、AD CS サーバー、Microsoft Entra Connect サーバー、およびドメイン コントローラーのイベント収集
正しいイベントが監査され、Windows イベント ログに含まれるようにするには、Active Directory フェデレーション サービス (AD FS) サーバー、Active Directory 証明書サービス (AD CS) サーバー、Microsoft Entra Connect サーバー、またはドメイン コントローラーで正確な高度な監査ポリシー設定が必要です。
詳細については、「Windows イベント ログの監査ポリシーを構成する」を参照してください。
必要なイベントの参照
このセクションでは、AD FS サーバー、AD CS サーバー、Microsoft Entra Connect サーバー、またはドメイン コントローラーに Defender for Identity センサーがインストールされている場合に必要となる Windows イベントの一覧を示します。
必要な AD FS イベント
AD FS サーバーには次のイベントが必要です。
- 1202: フェデレーション サービスが新しい資格情報を検証しました
- 1203: フェデレーション サービスは新しい資格情報の検証に失敗しました
- 4624: アカウントが正常にログオンしました
- 4625: アカウントのログオンに失敗しました
詳細については、「Active Directory フェデレーション サービスでの監査の構成」を参照してください。
必要なAD CSイベント
AD CS サーバーには次のイベントが必要です。
- 4870: 証明書サービスは証明書を取り消しました
- 4882: 証明書サービスのセキュリティのアクセス許可が変更されました
- 4885: 証明書サービスの監査フィルターが変更されました
- 4887: 証明書サービスは証明書の要求を許可し、証明書を発行しました
- 4888: 証明書サービスは証明書の要求を拒否しました
- 4890: 証明書サービスの証明書マネージャー設定が変更されました
- 4896: 証明書データベースから 1 つ以上の行が削除されました
詳細については、「Active Directory 証明書サービスの監査を構成する」を参照してください。
必須の Microsoft Entra Connect イベント
Microsoft Entra Connect サーバーには次のイベントが必要です。
- 4624: アカウントが正常にログオンしました
詳細については、「Microsoft Entra Connect での監査の構成」を参照してください。
その他の必要な Windows イベント
すべての Defender for Identity センサーには、次の一般的な Windows イベントが必要です。
- 4662: オブジェクトに対して操作が実行されました
- 4726: ユーザーアカウントが削除されました
- 4728: グローバル セキュリティ グループにメンバーが追加されました
- 4729: グローバル セキュリティ グループからメンバーが削除されました
- 4730: グローバル セキュリティ グループが削除されました
- 4732: ローカル セキュリティ グループにメンバーが追加されました
- 4733: ローカル セキュリティ グループからメンバーが削除されました
- 4741: コンピュータ アカウントが追加されました
- 4743: コンピュータ アカウントが削除されました
- 4753: グローバル配布グループが削除されました
- 4756: ユニバーサル セキュリティ グループにメンバーが追加されました
- 4757: ユニバーサル セキュリティ グループからメンバーが削除されました
- 4758: ユニバーサル セキュリティ グループが削除されました
- 4763: ユニバーサル配布グループが削除されました
- 4776: ドメイン コントローラがアカウントの資格情報の検証を試行しました (NTLM)
- 5136: ディレクトリ サービス オブジェクトが変更されました
- 7045: 新しいサービスがインストールされました
- 8004: NTLM認証
詳しくは、「NTLM 監査の構成」および「ドメイン オブジェクト監査を構成する」を参照してください。
スタンドアロン センサーのイベント収集
スタンドアロンの Defender for Identity センサーを使用している場合は、次のいずれかの方法を使用してイベント収集を手動で構成します。
- Defender for Identity スタンドアロン センサーでセキュリティ情報とイベント管理 (SIEM) イベントをリッスンします。 Defender for Identity は、SIEM システムまたは syslog サーバーからのユーザー データグラム プロトコル (UDP) トラフィックをサポートします。
- Defender for Identity スタンドアロン センサーに Windows イベント転送を設定する。 Syslog データをスタンドアロン センサーに転送する場合は、 すべての Syslog データをセンサーに転送しないようにしてください。
重要
Defender for Identity スタンドアロン センサーは、複数の検出のデータを提供する Event Tracing for Windows (ETW) ログ エントリの収集をサポートしていません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。
詳細については、SIEM システムまたは syslog サーバーの製品ドキュメントを参照してください。