Shromažďování událostí pomocí Microsoft Defenderu for Identity

Senzor Identity v programu Microsoft Defender for Identity je nakonfigurovaný tak, aby automaticky shromažďoval události syslogu. V případě událostí Windows se detekce identity v programu Defender pro identity spoléhá na konkrétní protokoly událostí. Senzor tyto protokoly událostí analyzuje z řadičů domény.

Shromažďování událostí pro servery SLUŽBY AD FS, servery AD CS, servery Microsoft Entra Connect a řadiče domény

Aby bylo možné auditovat a zahrnout správné události do protokolu událostí systému Windows, servery Active Directory Federation Services (AD FS) (AD FS), servery služby Active Directory Certificate Services (AD CS), servery služby Microsoft Entra Connect nebo řadiče domény vyžadují přesná rozšířená nastavení zásad auditu.

Další informace najdete v tématu Konfigurace zásad auditu pro protokoly událostí Systému Windows.

Odkaz na požadované události

Tato část obsahuje seznam událostí Systému Windows, které senzor identity v programu Defender for Identity vyžaduje, když je nainstalovaný na serverech služby AD FS, na serverech AD CS, na serverech Microsoft Entra Connect nebo na řadičích domény.

Požadované události služby AD FS

Pro servery AD FS jsou vyžadovány následující události:

  • 1202: Federační služba ověřila nové přihlašovací údaje.
  • 1203: Službě FS se nepodařilo ověřit nové přihlašovací údaje.
  • 4624: Účet byl úspěšně přihlášen
  • 4625: Účet se nepodařilo přihlásit

Další informace najdete v tématu Konfigurace auditování Active Directory Federation Services (AD FS).

Požadované události AD CS

Pro servery AD CS jsou vyžadovány následující události:

  • 4870: Certifikační služby odvolaly certifikát
  • 4882: Změna oprávnění zabezpečení pro Certifikační služby
  • 4885: Filtr auditu pro Certificate Services se změnil
  • 4887: Certifikační služba schválila žádost o certifikát a vydala certifikát
  • 4888: Certifikační služby zamítly žádost o certifikát
  • 4890: Nastavení správce certifikátů pro Certifikační služby se změnilo.
  • 4896: Jeden nebo více řádků bylo odstraněno z databáze certifikátů

Další informace naleznete v tématu Konfigurace auditování pro službu Active Directory Certificate Services.

Požadované události Microsoft Entra Connect

Pro servery Microsoft Entra Connect se vyžaduje následující událost:

  • 4624: Účet byl úspěšně přihlášen

Další informace naleznete v tématu Konfigurace auditování pro Microsoft Entra Connect.

Další požadované události Windows

Pro všechny senzory identity v programu Defender for Identity jsou vyžadovány následující obecné události Windows:

  • 4662: Operace byla provedena u objektu
  • 4726: Odstraněný uživatelský účet
  • 4728: Člen přidán do globální skupiny zabezpečení
  • 4729: Člen odebraný z globální skupiny zabezpečení
  • 4730: Globální odstraněná skupina zabezpečení
  • 4732: Člen přidán do místní skupiny zabezpečení
  • 4733: Člen odebrán z místní skupiny zabezpečení
  • 4741: Přidán účet počítače
  • 4743: Odstraněný účet počítače
  • 4753: Globální distribuční skupina byla odstraněna
  • 4756: Člen přidán do univerzální skupiny zabezpečení
  • 4757: Člen odebraný z univerzální skupiny zabezpečení
  • 4758: Odstraněna univerzální skupina zabezpečení
  • 4763: Odstraněná univerzální distribuční skupina
  • 4776: Řadič domény se pokusil ověřit přihlašovací údaje pro účet (NTLM)
  • 5136: Objekt adresářové služby byl změněn.
  • 7045: Nainstalována nová služba
  • 8004: Ověřování NTLM

Další informace naleznete v tématu Konfigurace auditování NTLM a Konfigurace auditování objektů domény.

Shromažďování událostí pro samostatné senzory

Pokud pracujete se samostatným senzorem Identity Defenderu, nakonfigurujte shromažďování událostí ručně pomocí jedné z následujících metod:

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.

Další informace najdete v dokumentaci k produktu pro váš systém SIEM nebo server syslog.

Další krok