Dela via

Händelsesamling med Microsoft Defender for Identity

  • Artikel

En Microsoft Defender for Identity sensor konfigureras för att automatiskt samla in syslog-händelser. För Windows-händelser förlitar sig Defender for Identity-identifiering på specifika händelseloggar. Sensorn parsar dessa händelseloggar från dina domänkontrollanter.

Händelsesamling för AD FS-servrar, AD CS-servrar, Microsoft Entra Connect-servrar och domänkontrollanter

För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver dina Active Directory Federation Services (AD FS)-servrar (AD FS), Active Directory Certificate Services-servrar (AD CS), Microsoft Entra Connect-servrar eller domänkontrollanter korrekta inställningar för avancerad granskningsprincip.

Mer information finns i Konfigurera granskningsprinciper för Windows-händelseloggar.

Referens för nödvändiga händelser

I det här avsnittet visas de Windows-händelser som krävs av Defender for Identity-sensorn när den är installerad på AD FS-servrar, AD CS-servrar, Microsoft Entra Connect-servrar eller domänkontrollanter.

Nödvändiga AD FS-händelser

Följande händelser krävs för AD FS-servrar:

  • 1202: Federationstjänsten verifierade en ny autentiseringsuppgift
  • 1203: Federationstjänsten kunde inte verifiera en ny autentiseringsuppgift
  • 4624: Ett konto har loggats in
  • 4625: Ett konto kunde inte logga in

Mer information finns i Konfigurera granskning på Active Directory Federation Services (AD FS).

Nödvändiga AD CS-händelser

Följande händelser krävs för AD CS-servrar:

  • 4870: Certificate Services återkallade ett certifikat
  • 4882: Säkerhetsbehörigheterna för Certificate Services har ändrats
  • 4885: Granskningsfiltret för Certificate Services har ändrats
  • 4887: Certificate Services godkände en certifikatbegäran och utfärdade ett certifikat
  • 4888: Certificate Services nekade en certifikatbegäran
  • 4890: Certifikathanterarinställningarna för Certificate Services har ändrats
  • 4896: En eller flera rader har tagits bort från certifikatdatabasen

Mer information finns i Konfigurera granskning för Active Directory Certificate Services.

Nödvändiga Microsoft Entra Connect-händelser

Följande händelse krävs för Microsoft Entra Connect-servrar:

  • 4624: Ett konto har loggats in

Mer information finns i Konfigurera granskning på Microsoft Entra Connect.

Andra nödvändiga Windows-händelser

Följande allmänna Windows-händelser krävs för alla Defender för identitetssensorer:

  • 4662: En åtgärd utfördes på ett objekt
  • 4726: Användarkontot har tagits bort
  • 4728: Medlem tillagd i global säkerhetsgrupp
  • 4729: Medlem borttagen från global säkerhetsgrupp
  • 4730: Global säkerhetsgrupp har tagits bort
  • 4732: Medlem tillagd i lokal säkerhetsgrupp
  • 4733: Medlem borttagen från lokal säkerhetsgrupp
  • 4741: Datorkonto har lagts till
  • 4743: Datorkontot har tagits bort
  • 4753: Global distributionsgrupp borttagen
  • 4756: Medlem tillagd i Universal Security Group
  • 4757: Medlem borttagen från universell säkerhetsgrupp
  • 4758: Universell säkerhetsgrupp borttagen
  • 4763: Universell distributionsgrupp borttagen
  • 4776: Domänkontrollant försökte verifiera autentiseringsuppgifter för ett konto (NTLM)
  • 5136: Ett katalogtjänstobjekt ändrades
  • 7045: Ny tjänst installerad
  • 8004: NTLM-autentisering

Mer information finns i Konfigurera NTLM-granskning och Konfigurera granskning av domänobjekt.

Händelseinsamling för fristående sensorer

Om du arbetar med en fristående Defender for Identity-sensor konfigurerar du händelsesamlingen manuellt med någon av följande metoder:

Viktigt

Fristående sensorer i Defender för identitet stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.

Mer information finns i produktdokumentationen för DITT SIEM-system eller din syslog-server.

Nästa steg

Konfigurera granskningsprinciper för Windows-händelseloggar