具有 適用於身分識別的 Microsoft Defender 的事件集合
適用於身分識別的 Microsoft Defender 感測器設定為自動收集 syslog 事件。 針對 Windows 事件,適用於身分識別的 Defender 偵測會依賴特定事件記錄檔。 感測器會從域控制器剖析這些事件記錄檔。
AD FS 伺服器、AD CS 伺服器、Microsoft Entra Connect 伺服器和域控制器的事件收集
若要稽核並包含在 Windows 事件記錄檔中的正確事件,您的 Active Directory 同盟服務 (AD FS) 伺服器、Active Directory 憑證服務 (AD CS) 伺服器、Microsoft Entra Connect 伺服器或域控制器需要精確的進階審核策略設定。
如需詳細資訊, 請參閱設定 Windows 事件記錄檔的審核策略。
必要事件的參考
本節列出適用於身分識別的 Defender 感測器安裝在 AD FS 伺服器、AD CS 伺服器、Microsoft Entra Connect 伺服器或域控制器時所需的 Windows 事件。
必要的AD FS事件
AD FS 伺服器需要下列事件:
- 1202:同盟服務已驗證新的認證
- 1203:同盟服務無法驗證新的認證
- 4624:帳戶已成功登入
- 4625:帳戶無法登入
如需詳細資訊,請參閱設定 Active Directory 同盟服務 的稽核。
必要的 AD CS 事件
AD CS 伺服器需要下列事件:
- 4870:憑證服務撤銷憑證
- 4882:憑證服務的安全性許可權已變更
- 4885:憑證服務的稽核篩選已變更
- 4887:憑證服務已核准憑證要求並發行憑證
- 4888:憑證服務拒絕憑證要求
- 4890:憑證服務的憑證管理員設定已變更
- 4896:已從憑證資料庫刪除一或多個數據列
如需詳細資訊, 請參閱設定 Active Directory 憑證服務的稽核。
Connect 事件 Microsoft Entra 必要
Microsoft Entra Connect 伺服器需要下列事件:
- 4624:帳戶已成功登入
如需詳細資訊,請參閱在 Microsoft Entra Connect 上設定稽核。
其他必要的 Windows 事件
所有適用於身分識別的 Defender 感測器都需要下列一般 Windows 事件:
- 4662:已在對象上執行作業
- 4726:已刪除用戶帳戶
- 4728:新增至全域安全組的成員
- 4729:從全域安全組移除成員
- 4730:已刪除全域安全組
- 4732:新增至本機安全組的成員
- 4733:從本機安全組移除成員
- 4741:已新增計算機帳戶
- 4743:已刪除計算機帳戶
- 4753:已刪除全域通訊群組
- 4756:新增至通用安全組的成員
- 4757:從通用安全組移除成員
- 4758:已刪除通用安全組
- 4763:已刪除通用通訊群組
- 4776:域控制器嘗試驗證帳戶的認證 (NTLM)
- 5136:已修改目錄服務物件
- 7045:已安裝新服務
- 8004:NTLM 驗證
如需詳細資訊, 請參閱設定NTLM稽核 和設定 網域物件稽核。
獨立感測器的事件集合
如果您使用適用於身分識別的獨立 Defender 感測器,請使用下列其中一種方法手動設定事件集合:
- 在適用於身分識別的 Defender 獨立感測器上接聽安全性資訊和事件管理 (SIEM) 事件。 適用於身分識別的 Defender 支援使用者數據報通訊協定 (UDP) 來自 SIEM 系統或 syslog 伺服器的流量。
- 設定 Windows 事件轉送至適用於身分識別的 Defender 獨立感測器。 當您將 syslog 資料轉送至獨立感測器時,請確定不要將 所有 syslog 資料轉送到您的感測器。
重要事項
適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,以提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。
如需詳細資訊,請參閱 SIEM 系統或 syslog 伺服器的產品檔。