Coleção de eventos com Microsoft Defender para Identidade

Um sensor de Microsoft Defender para Identidade é configurado para recolher automaticamente eventos do syslog. Para eventos do Windows, a deteção do Defender para Identidade baseia-se em registos de eventos específicos. O sensor analisa estes registos de eventos dos controladores de domínio.

Recolha de eventos para servidores do AD FS, servidores do AD CS, servidores do Microsoft Entra Connect e controladores de domínio

Para que os eventos corretos sejam auditados e incluídos no registo de eventos do Windows, os servidores de Serviços de Federação do Active Directory (AD FS) (AD FS), os servidores dos Serviços de Certificados do Active Directory (AD CS), os servidores do Microsoft Entra Connect ou os controladores de domínio requerem definições de Política de Auditoria Avançada precisas.

Para obter mais informações, veja Configurar políticas de auditoria para registos de eventos do Windows.

Referência dos eventos necessários

Esta secção lista os eventos do Windows de que o sensor do Defender para Identidade necessita quando está instalado em servidores do AD FS, servidores do AD CS, servidores do Microsoft Entra Connect ou controladores de domínio.

Eventos do AD FS necessários

São necessários os seguintes eventos para os servidores do AD FS:

• 1202: O Serviço de Federação validou uma nova credencial
• 1203: O Serviço de Federação não conseguiu validar uma nova credencial
• 4624: Uma conta foi iniciada com êxito
• 4625: Uma conta não conseguiu iniciar sessão

Para obter mais informações, veja Configurar a auditoria no Serviços de Federação do Active Directory (AD FS).

Eventos do AD CS necessários

Os seguintes eventos são necessários para os servidores do AD CS:

• 4870: Os Serviços de Certificados revogaram um certificado
• 4882: As permissões de segurança dos Serviços de Certificados foram alteradas
• 4885: O filtro de auditoria dos Serviços de Certificados foi alterado
• 4887: Os Serviços de Certificados aprovaram um pedido de certificado e emitiram um certificado
• 4888: Serviços de Certificados negaram um pedido de certificado
• 4890: As definições do gestor de certificados dos Serviços de Certificados foram alteradas
• 4896: Uma ou mais linhas foram eliminadas da base de dados de certificados

Para obter mais informações, veja Configurar a auditoria para os Serviços de Certificados do Active Directory.

Eventos necessários do Microsoft Entra Connect

O evento seguinte é necessário para servidores do Microsoft Entra Connect:

• 4624: Uma conta foi iniciada com êxito

Para obter mais informações, veja Configurar a auditoria no Microsoft Entra Connect.

Outros eventos necessários do Windows

Os seguintes eventos gerais do Windows são necessários para todos os sensores do Defender para Identidade:

• 4662: Foi efetuada uma operação num objeto
• 4726: Conta de Utilizador Eliminada
• 4728: Membro Adicionado ao Grupo de Segurança Global
• 4729: Membro Removido do Grupo de Segurança Global
• 4730: Grupo de Segurança Global Eliminado
• 4732: Membro Adicionado ao Grupo de Segurança Local
• 4733: Membro removido do Grupo de Segurança Local
• 4741: Conta de Computador Adicionada
• 4743: Conta de Computador Eliminada
• 4753: Grupo de Distribuição Global Eliminado
• 4756: Membro Adicionado ao Grupo de Segurança Universal
• 4757: Membro removido do Grupo de Segurança Universal
• 4758: Grupo de Segurança Universal Eliminado
• 4763: Grupo de Distribuição Universal Eliminado
• 4776: Controlador de Domínio Tentou Validar Credenciais para uma Conta (NTLM)
• 5136: Um objeto de serviço de diretório foi modificado
• 7045: Novo Serviço Instalado
• 8004: Autenticação NTLM

Para obter mais informações, veja Configurar a auditoria NTLM e Configurar a auditoria de objetos de domínio.

Recolha de eventos para sensores autónomos

Se estiver a trabalhar com um sensor autónomo do Defender para Identidade, configure a recolha de eventos manualmente através de um dos seguintes métodos:

• Ouça informações de segurança e eventos de gestão de eventos (SIEM) no sensor autónomo do Defender para Identidade. O Defender para Identidade suporta o tráfego do Protocolo UDP (User Datagram Protocol) a partir do sistema SIEM ou do servidor syslog.
• Configure o reencaminhamento de eventos do Windows para o sensor autónomo do Defender para Identidade. Quando estiver a reencaminhar dados do syslog para um sensor autónomo, certifique-se de que não reencaminha todos os dados do syslog para o sensor.

Importante

Os sensores autónomos do Defender para Identidade não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implementação do sensor do Defender para Identidade.

Para obter mais informações, veja a documentação do produto do sistema SIEM ou do servidor syslog.

Passo seguinte

Configurar políticas de auditoria para registos de eventos do Windows