Hendelsessamling med Microsoft Defender for identitet
En Microsoft Defender for identitet sensor er konfigurert til å samle inn syslog-hendelser automatisk. For Windows-hendelser er Defender for identitetsgjenkjenning avhengig av bestemte hendelseslogger. Sensoren analyserer disse hendelsesloggene fra domenekontrollerne.
Hendelsessamling for AD FS-servere, AD CS-servere, Microsoft Entra Connect-servere og domenekontrollere
For at de riktige hendelsene skal overvåkes og inkluderes i hendelsesloggen i Windows, krever Active Directory Federation Services (AD FS)-serverne, Active Directory Certificate Services (AD CS)-servere, Microsoft Entra Connect-servere eller domenekontrollere nøyaktige avanserte innstillinger for overvåkingspolicy.
Hvis du vil ha mer informasjon, kan du se Konfigurere overvåkingspolicyer for Windows-hendelseslogger.
Referanse til nødvendige hendelser
Denne delen viser Windows-hendelser som Defender for Identity-sensoren krever når den er installert på AD FS-servere, AD CS-servere, Microsoft Entra Connect-servere eller domenekontrollere.
Obligatoriske AD FS-hendelser
Følgende hendelser kreves for AD FS-servere:
- 1202: Forbundstjenesten validerte en ny legitimasjon
- 1203: Forbundstjenesten kan ikke validere en ny legitimasjon
- 4624: En konto ble logget på
- 4625: En konto kan ikke logge på
Hvis du vil ha mer informasjon, kan du se Konfigurere overvåking på Active Directory Federation Services.
Nødvendige AD CS-hendelser
Følgende hendelser kreves for AD CS-servere:
- 4870: Sertifikattjenester opphevet et sertifikat
- 4882: Sikkerhetstillatelsene for Sertifikattjenester er endret
- 4885: Overvåkingsfilteret for Certificate Services endret
- 4887: Certificate Services godkjente en sertifikatforespørsel og utstedte et sertifikat
- 4888: Certificate Services avviste en sertifikatforespørsel
- 4890: Innstillingene for sertifikatbehandling for Certificate Services er endret
- 4896: Én eller flere rader er slettet fra sertifikatdatabasen
Hvis du vil ha mer informasjon, kan du se Konfigurere overvåking for Active Directory Certificate Services.
Obligatoriske Microsoft Entra Connect-hendelser
Følgende hendelse kreves for Microsoft Entra Koble til servere:
- 4624: En konto ble logget på
Hvis du vil ha mer informasjon, kan du se Konfigurere overvåking på Microsoft Entra Koble til.
Andre nødvendige Windows-hendelser
Følgende generelle Windows-hendelser kreves for alle Defender for Identity-sensorer:
- 4662: En operasjon ble utført på et objekt
- 4726: Brukerkonto slettet
- 4728: Medlem lagt til i global sikkerhetsgruppe
- 4729: Medlem fjernet fra global sikkerhetsgruppe
- 4730: Global sikkerhetsgruppe slettet
- 4732: Medlem lagt til i lokal sikkerhetsgruppe
- 4733: Medlem fjernet fra lokal sikkerhetsgruppe
- 4741: Datamaskinkonto lagt til
- 4743: Datamaskinkonto slettet
- 4753: Global distribusjonsgruppe slettet
- 4756: Medlem lagt til i Universal Security Group
- 4757: Medlem fjernet fra Universal Security Group
- 4758: Universal Security Group slettet
- 4763: Universell distribusjonsgruppe slettet
- 4776: Domenekontroller forsøkte å validere legitimasjon for en konto (NTLM)
- 5136: Et katalogtjenesteobjekt ble endret
- 7045: Ny tjeneste installert
- 8004: NTLM-godkjenning
Hvis du vil ha mer informasjon, kan du se Konfigurere NTLM-overvåking og konfigurere overvåking av domeneobjekter.
Hendelsessamling for frittstående sensorer
Hvis du arbeider med en frittstående Defender for Identity-sensor, konfigurerer du hendelsesinnsamling manuelt ved hjelp av én av følgende metoder:
- Lytt etter hendelser for sikkerhetsinformasjon og hendelsesbehandling (SIEM) på den frittstående sensoren i Defender for Identity. Defender for Identity støtter UDP-trafikk (User Datagram Protocol) fra SIEM-systemet eller syslog-serveren.
- Konfigurer Windows-hendelsessending til din frittstående Defender for Identity-sensor. Når du videresender syslog-data til en frittstående sensor, må du passe på at du ikke videresender alle syslog-dataene til sensoren.
Viktig
Defender for Identity frittstående sensorer støtter ikke innsamling av hendelsessporing for Windows -loggoppføringer (ETW) som gir dataene for flere gjenkjenninger. Hvis du vil ha full dekning av miljøet ditt, anbefaler vi at du distribuerer Defender for Identity-sensoren.
Hvis du vil ha mer informasjon, kan du se produktdokumentasjonen for SIEM-systemet eller syslog-serveren.