Coleta de eventos com o Microsoft Defender para Identidade
Um sensor do Microsoft Defender para Identidade é configurado para coletar automaticamente eventos de syslog. Para eventos do Windows, a detecção do Defender para Identidade depende de logs de eventos específicos. O sensor analisa esses logs de eventos de seus controladores de domínio.
Coleta de eventos para servidores do AD FS, servidores do AD CS, servidores do Microsoft Entra Connect e controladores de domínio
Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, os servidores de Serviços de Federação do Active Directory (AD FS), Serviços de Certificados do Active Directory (AD CS), servidores do Microsoft Entra Connect ou controladores de domínio precisam de configurações precisas da Política de Auditoria Avançada.
Para obter mais informações, confira Configurar políticas de auditoria para logs de eventos do Windows.
Referência dos eventos necessários
Esta seção lista os eventos do Windows que o sensor do Defender para Identidade requer quando é instalado em servidores do AD FS, servidores do AD CS, servidores do Microsoft Entra Connect ou controladores de domínio.
Eventos necessários do AD FS
Os seguintes eventos são necessários para servidores do AD FS:
- 1202: o Serviço de Federação validou uma nova credencial
- 1203: o Serviço de Federação falhou ao validar uma nova credencial
- 4624: logon de uma conta feito com êxito
- 4625: falha no logon de uma conta
Para mais informações, consulte Configurar a auditoria nos Serviços de Federação do Active Directory.
Eventos obrigatórios do AD CS
Os seguintes eventos são necessários para servidores do AD CS:
- 4870: os Serviços de Certificados revogaram um certificado
- 4882: as permissões de segurança dos Serviços de Certificados mudaram
- 4885: o filtro de auditoria dos Serviços de Certificados mudou
- 4887: os Serviços de Certificados aprovaram uma solicitação de certificado e emitiram um certificado
- 4888: os Serviços de Certificados negaram uma solicitação de certificado
- 4890: as configurações do gerenciador de certificados dos Serviços de Certificados foram alteradas
- 4896: uma ou mais linhas foram excluídas do banco de dados de certificados
Para mais informações, consulte Configurar auditoria para eventos dos Serviços de Certificados do Active Directory.
Eventos obrigatórios do Microsoft Entra Connect
O seguinte evento é necessário para servidores Microsoft Entra Connect:
- 4624: logon de uma conta feito com êxito
Para mais informações, consulte Configurar auditoria no Microsoft Entra Connect.
Outros eventos do Windows necessários
Os seguintes eventos gerais do Windows são necessários para todos os sensores do Defender para Identidade:
- 4662: uma operação foi executada em um objeto
- 4726: conta de usuário excluída
- 4728: membro adicionado ao grupo de segurança global
- 4729: membro removido do grupo de segurança global
- 4730: grupo de segurança global excluído
- 4732: membro adicionado ao grupo de segurança local
- 4733: membro removido do grupo de segurança local
- 4741: conta de computador adicionada
- 4743: conta de computador excluída
- 4753: grupo de distribuição global excluído.
- 4756: membro adicionado ao grupo de segurança universal
- 4757: membro removido de grupo de segurança universal
- 4758: grupo de segurança universal excluído
- 4763: grupo de distribuição universal excluído
- 4776: o controlador de domínio tentou validar as credenciais de uma conta (NTLM)
- 5136: um objeto de serviço de diretório foi alterado
- 7045: novo serviço instalado
- 8004: autenticação NTLM
Para obter mais informações, confira Configurar auditoria NTLM e Configurar auditoria de objetos de domínio.
Coleta de eventos para sensores autônomos
Se você estiver trabalhando com um sensor autônomo do Defender para Identidade, configure a coleta de eventos manualmente usando um dos seguintes métodos:
- Ouça os eventos de gerenciamento de eventos e informações de segurança (SIEM) em seu sensor autônomo do Defender for Identity. O Defender para Identidade é compatível com o tráfego UDP (protocolo UDP) do seu sistema SIEM ou do seu servidor syslog.
- Configurar o encaminhamento de eventos do Windows para o sensor autônomo do Defender para Identidade. Ao encaminhar dados de syslog para um sensor autônomo, certifique-se de não encaminhar todos os dados de syslog para o sensor.
Importante
Os sensores autônomos do Defender para Identidade não suportam à coleção de entradas de log do Rastreamento de Eventos para Windows (ETW) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.
Para obter mais informações, consulte a documentação do produto para seu sistema SIEM ou seu servidor syslog.