Händelsesamling med Microsoft Defender för identitet

  • Artikel

En Microsoft Defender for Identity-sensor har konfigurerats för att automatiskt samla in syslog-händelser. För Windows-händelser förlitar sig Defender för identitetsidentifiering på specifika händelseloggar. Sensorn parsar dessa händelseloggar från dina domänkontrollanter.

Händelseinsamling för AD FS-servrar, AD CS-servrar, Microsoft Entra Connect-servrar och domänkontrollanter

För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver dina Active Directory Federation Services (AD FS)-servrar (AD FS), AD CS-servrar (Active Directory Certificate Services), Microsoft Entra Connect-servrar eller domänkontrollanter korrekta inställningar för avancerad granskningsprincip.

Mer information finns i Konfigurera granskningsprinciper för Windows-händelseloggar.

Referens till nödvändiga händelser

I det här avsnittet visas de Windows-händelser som Defender for Identity-sensorn kräver när den är installerad på AD FS-servrar, AD CS-servrar, Microsoft Entra Connect-servrar eller domänkontrollanter.

Nödvändiga AD FS-händelser

Följande händelser krävs för AD FS-servrar:

  • 1202: Federationstjänsten verifierade en ny autentiseringsuppgift
  • 1203: Federationstjänsten kunde inte verifiera en ny autentiseringsuppgift
  • 4624: Ett konto har loggats in
  • 4625: Det gick inte att logga in på ett konto

Mer information finns i Konfigurera granskning på Active Directory Federation Services (AD FS).

Nödvändiga AD CS-händelser

Följande händelser krävs för AD CS-servrar:

  • 4870: Certifikattjänster återkallade ett certifikat
  • 4882: Säkerhetsbehörigheterna för Certificate Services har ändrats
  • 4885: Granskningsfiltret för Certificate Services har ändrats
  • 4887: Certificate Services godkände en certifikatbegäran och utfärdade ett certifikat
  • 4888: Certifikattjänster nekade en certifikatbegäran
  • 4890: Inställningarna för certifikathanteraren för Certificate Services har ändrats
  • 4896: En eller flera rader har tagits bort från certifikatdatabasen

Mer information finns i Konfigurera granskning för Active Directory Certificate Services.

Nödvändiga Microsoft Entra Connect-händelser

Följande händelse krävs för Microsoft Entra Connect-servrar:

  • 4624: Ett konto har loggats in

Mer information finns i Konfigurera granskning på Microsoft Entra Connect.

Andra nödvändiga Windows-händelser

Följande allmänna Windows-händelser krävs för alla Defender för identitetssensorer:

  • 4662: En åtgärd utfördes på ett objekt
  • 4726: Användarkontot har tagits bort
  • 4728: Medlem tillagd i global säkerhetsgrupp
  • 4729: Medlem borttagen från global säkerhetsgrupp
  • 4730: Global säkerhetsgrupp har tagits bort
  • 4732: Medlem tillagd i lokal säkerhetsgrupp
  • 4733: Medlem borttagen från lokal säkerhetsgrupp
  • 4741: Datorkontot har lagts till
  • 4743: Datorkontot har tagits bort
  • 4753: Global distributionsgrupp har tagits bort
  • 4756: Medlem tillagd i universell säkerhetsgrupp
  • 4757: Medlem borttagen från universell säkerhetsgrupp
  • 4758: Universell säkerhetsgrupp har tagits bort
  • 4763: Universell distributionsgrupp har tagits bort
  • 4776: Domänkontrollant försökte verifiera autentiseringsuppgifter för ett konto (NTLM)
  • 5136: Ett katalogtjänstobjekt ändrades
  • 7045: Ny tjänst installerad
  • 8004: NTLM-autentisering

Mer information finns i Konfigurera NTLM-granskning och Konfigurera granskning av domänobjekt.

Händelsesamling för fristående sensorer

Om du arbetar med en fristående Defender for Identity-sensor konfigurerar du händelsesamlingen manuellt med någon av följande metoder:

Viktigt!

Fristående sensorer i Defender för identitet stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.

Mer information finns i produktdokumentationen för DITT SIEM-system eller din syslog-server.

Gå vidare

Konfigurera granskningsprinciper för Windows-händelseloggar