Коллекция событий с Microsoft Defender для удостоверений
Датчик Microsoft Defender для удостоверений настроен для автоматического сбора событий системного журнала. Для событий Windows обнаружение Defender для удостоверений использует определенные журналы событий. Датчик анализирует эти журналы событий с контроллеров домена.
Сбор событий для серверов AD FS, серверов AD CS, серверов Microsoft Entra Connect и контроллеров домена
Для аудита правильных событий и их включения в журнал событий Windows, серверы службы федерации Active Directory (AD FS) (AD FS), серверы служб сертификатов Active Directory (AD CS), серверы Microsoft Entra Connect или контроллеры домена требуют точных параметров расширенной политики аудита.
Дополнительные сведения см. в статье Настройка политик аудита для журналов событий Windows.
Ссылка на необходимые события
В этом разделе перечислены события Windows, необходимые датчику Defender для удостоверений, если он установлен на серверах AD FS, серверах AD CS, серверах Microsoft Entra Connect или контроллерах домена.
Обязательные события AD FS
Для серверов AD FS требуются следующие события:
- 1202: служба федерации проверила новые учетные данные
- 1203: службе федерации не удалось проверить новые учетные данные
- 4624: учетная запись успешно выполнена
- 4625: не удалось войти в учетную запись
Дополнительные сведения см. в разделе Настройка аудита для службы федерации Active Directory (AD FS).
Обязательные события AD CS
Для серверов AD CS требуются следующие события:
- 4870: службы сертификатов отозвали сертификат
- 4882: изменены разрешения безопасности для служб сертификатов
- 4885: изменен фильтр аудита для служб сертификатов
- 4887: службы сертификатов утвердили запрос на сертификат и выдали сертификат.
- 4888: службы сертификатов отклонили запрос на сертификат
- 4890: изменены параметры диспетчера сертификатов для служб сертификатов.
- 4896: одна или несколько строк были удалены из базы данных сертификатов.
Дополнительные сведения см. в разделе Настройка аудита для служб сертификатов Active Directory.
Обязательные события Microsoft Entra Connect
Для серверов Microsoft Entra Connect требуется следующее событие:
- 4624: учетная запись успешно выполнена
Дополнительные сведения см. в разделе Настройка аудита в Microsoft Entra Connect.
Другие необходимые события Windows
Для всех датчиков Defender для удостоверений требуются следующие общие события Windows:
- 4662: операция была выполнена с объектом
- 4726: учетная запись пользователя удалена
- 4728: участник добавлен в глобальную группу безопасности
- 4729: участник удален из глобальной группы безопасности
- 4730: удалена глобальная группа безопасности
- 4732: участник добавлен в локальную группу безопасности
- 4733: участник удален из локальной группы безопасности
- 4741: добавлена учетная запись компьютера
- 4743: удалена учетная запись компьютера
- 4753: удалена глобальная группа рассылки
- 4756: участник добавлен в универсальную группу безопасности
- 4757: член удален из универсальной группы безопасности
- 4758: удалена универсальная группа безопасности
- 4763: удалена универсальная группа рассылки
- 4776: контроллер домена пытается проверить учетные данные для учетной записи (NTLM)
- 5136: объект службы каталогов был изменен
- 7045: новая служба установлена
- 8004: проверка подлинности NTLM
Дополнительные сведения см. в разделах Настройка аудита NTLM и Настройка аудита объектов домена.
Коллекция событий для автономных датчиков
Если вы работаете с автономным датчиком Defender для удостоверений, настройте сбор событий вручную с помощью одного из следующих методов:
- Прослушивайте события управления информационной безопасностью и событиями безопасности (SIEM) на автономном датчике Defender для удостоверений. Defender для удостоверений поддерживает трафик UDP из системы SIEM или сервера системного журнала.
- Настройте переадресацию событий Windows на автономный датчик Defender для удостоверений. При пересылке данных системного журнала на автономный датчик убедитесь, что не пересылайте все данные системного журнала на датчик.
Важно!
Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.
Дополнительные сведения см. в документации по продукту для системы SIEM или сервера системного журнала.