Kolekcja zdarzeń z Microsoft Defender for Identity
Czujnik Microsoft Defender for Identity jest skonfigurowany do automatycznego zbierania zdarzeń dziennika systemowego. W przypadku zdarzeń systemu Windows wykrywanie tożsamości w usłudze Defender opiera się na określonych dziennikach zdarzeń. Czujnik analizuje te dzienniki zdarzeń z kontrolerów domeny.
Zbieranie zdarzeń dla serwerów usług AD FS, serwerów usług AD CS, serwerów Microsoft Entra Connect i kontrolerów domeny
Aby poprawne zdarzenia były poddawane inspekcji i uwzględniane w dzienniku zdarzeń systemu Windows, serwery Active Directory Federation Services (AD FS), serwery usług certyfikatów Active Directory (AD CS), serwery Microsoft Entra Connect lub kontrolery domeny wymagają dokładnych ustawień zaawansowanych zasad inspekcji.
Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.
Odwołanie do wymaganych zdarzeń
Ta sekcja zawiera listę zdarzeń systemu Windows wymaganych przez czujnik usługi Defender for Identity podczas instalowania na serwerach usług AD FS, serwerach usług AD CS, serwerach Microsoft Entra Connect lub kontrolerach domeny.
Wymagane zdarzenia usług AD FS
W przypadku serwerów usług AD FS są wymagane następujące zdarzenia:
- 1202: Usługa federacyjna zweryfikowała nowe poświadczenia
- 1203: Usługa federacyjna nie może zweryfikować nowego poświadczenia
- 4624: Konto zostało pomyślnie zalogowane
- 4625: Logowanie konta nie powiodło się
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji na Active Directory Federation Services.
Wymagane zdarzenia usługi AD CS
Następujące zdarzenia są wymagane dla serwerów usług AD CS:
- 4870: Usługi certyfikatów odwołały certyfikat
- 4882: Zmieniono uprawnienia zabezpieczeń dla usług certyfikatów
- 4885: Filtr inspekcji usług certyfikatów został zmieniony
- 4887: Usługi certyfikatów zatwierdziły żądanie certyfikatu i wydały certyfikat
- 4888: Usługi certyfikatów odrzuciły żądanie certyfikatu
- 4890: Zmieniono ustawienia menedżera certyfikatów dla usług certyfikatów
- 4896: Co najmniej jeden wiersz został usunięty z bazy danych certyfikatów
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji dla usług certyfikatów Active Directory.
Wymagane zdarzenia Microsoft Entra Connect
W przypadku serwerów Microsoft Entra Connect wymagane jest następujące zdarzenie:
- 4624: Konto zostało pomyślnie zalogowane
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji w programie Microsoft Entra Connect.
Inne wymagane zdarzenia systemu Windows
Dla wszystkich czujników usługi Defender for Identity są wymagane następujące ogólne zdarzenia systemu Windows:
- 4662: Operacja została wykonana na obiekcie
- 4726: Usunięto konto użytkownika
- 4728: Element członkowski dodany do globalnej grupy zabezpieczeń
- 4729: Element członkowski usunięty z globalnej grupy zabezpieczeń
- 4730: Usunięto globalną grupę zabezpieczeń
- 4732: Element członkowski dodany do lokalnej grupy zabezpieczeń
- 4733: Element członkowski usunięty z lokalnej grupy zabezpieczeń
- 4741: Dodano konto komputera
- 4743: Usunięto konto komputera
- 4753: Usunięto globalną grupę dystrybucyjną
- 4756: Członek dodany do uniwersalnej grupy zabezpieczeń
- 4757: Element członkowski usunięty z uniwersalnej grupy zabezpieczeń
- 4758: Usunięto uniwersalną grupę zabezpieczeń
- 4763: Usunięto uniwersalną grupę dystrybucyjną
- 4776: Kontroler domeny próbował zweryfikować poświadczenia dla konta (NTLM)
- 5136: Zmodyfikowano obiekt usługi katalogowej
- 7045: Zainstalowano nową usługę
- 8004: Uwierzytelnianie NTLM
Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji NTLM i Konfigurowanie inspekcji obiektów domeny.
Zbieranie zdarzeń dla czujników autonomicznych
Jeśli pracujesz z autonomicznym czujnikiem usługi Defender for Identity, skonfiguruj zbieranie zdarzeń ręcznie przy użyciu jednej z następujących metod:
- Nasłuchiwanie zdarzeń zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) w autonomicznym czujniku usługi Defender for Identity. Usługa Defender for Identity obsługuje ruch protokołu UDP (User Datagram Protocol) z systemu SIEM lub serwera dziennika systemowego.
- Skonfiguruj przekazywanie zdarzeń systemu Windows do czujnika autonomicznego usługi Defender for Identity. Podczas przekazywania danych dziennika systemowego do czujnika autonomicznego upewnij się, że nie przekazujesz wszystkich danych dziennika systemowego do czujnika.
Ważna
Czujniki autonomiczne usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń dla systemu Windows (ETW), które udostępniają dane dla wielu wykryć. Aby uzyskać pełne pokrycie środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.
Aby uzyskać więcej informacji, zobacz dokumentację produktu dla systemu SIEM lub serwera dziennika systemowego.