Kimlik için Microsoft Defender ile olay koleksiyonu

  • Makale

Kimlik için Microsoft Defender algılayıcısı syslog olaylarını otomatik olarak toplayacak şekilde yapılandırılır. Windows olayları için Kimlik için Defender algılama, belirli olay günlüklerine dayanır. Algılayıcı, bu olay günlüklerini etki alanı denetleyicilerinizden ayrıştırıyor.

AD FS sunucuları, AD CS sunucuları, Microsoft Entra Connect sunucuları ve etki alanı denetleyicileri için olay koleksiyonu

Doğru olayların denetlenip Windows olay günlüğüne eklenmesi için, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sunucularınız, Active Directory Sertifika Hizmetleri (AD CS) sunucularınız, Microsoft Entra Connect sunucuları veya etki alanı denetleyicileriniz doğru Gelişmiş Denetim İlkesi ayarları gerektirir.

Daha fazla bilgi için bkz . Windows olay günlükleri için denetim ilkelerini yapılandırma.

Gerekli olayların başvurusu

Bu bölümde AD FS sunucularına, AD CS sunucularına, Microsoft Entra Connect sunucularına veya etki alanı denetleyicilerine yüklendiğinde Kimlik için Defender algılayıcısının gerektirdiği Windows olayları listelenir.

Gerekli AD FS olayları

AD FS sunucuları için aşağıdaki olaylar gereklidir:

  • 1202: Federasyon Hizmeti yeni bir kimlik bilgisi doğrula
  • 1203: Federasyon Hizmeti yeni bir kimlik bilgilerini doğrulayamadı
  • 4624: Bir hesap başarıyla oturum açtı
  • 4625: Bir hesap oturum açamadı

Daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS) üzerinde denetimi yapılandırma.

Gerekli AD CS olayları

AD CS sunucuları için aşağıdaki olaylar gereklidir:

  • 4870: Sertifika Hizmetleri sertifikayı iptal etti
  • 4882: Sertifika Hizmetleri için güvenlik izinleri değiştirildi
  • 4885: Sertifika Hizmetleri için denetim filtresi değiştirildi
  • 4887: Sertifika Hizmetleri bir sertifika isteğini onayladı ve sertifika yayımladı
  • 4888: Sertifika Hizmetleri sertifika isteğini reddetti
  • 4890: Sertifika Hizmetleri için sertifika yöneticisi ayarları değiştirildi
  • 4896: Sertifika veritabanından bir veya daha fazla satır silindi

Daha fazla bilgi için bkz . Active Directory Sertifika Hizmetleri için denetimi yapılandırma.

Gerekli Microsoft Entra Connect olayları

Microsoft Entra Connect sunucuları için aşağıdaki olay gereklidir:

  • 4624: Bir hesap başarıyla oturum açtı

Daha fazla bilgi için bkz . Microsoft Entra Connect'te denetimi yapılandırma.

Diğer gerekli Windows olayları

Tüm Kimlik için Defender algılayıcıları için aşağıdaki genel Windows olayları gereklidir:

  • 4662: Nesne üzerinde bir işlem gerçekleştirildi
  • 4726: Kullanıcı Hesabı Silindi
  • 4728: Genel Güvenlik Grubuna Üye Eklendi
  • 4729: Üye Genel Güvenlik Grubundan Kaldırıldı
  • 4730: Genel Güvenlik Grubu Silindi
  • 4732: Yerel Güvenlik Grubuna Üye Eklendi
  • 4733: Üye Yerel Güvenlik Grubundan Kaldırıldı
  • 4741: Bilgisayar Hesabı Eklendi
  • 4743: Bilgisayar Hesabı Silindi
  • 4753: Genel Dağıtım Grubu Silindi
  • 4756: Evrensel Güvenlik Grubuna Üye Eklendi
  • 4757: Üye Evrensel Güvenlik Grubundan Kaldırıldı
  • 4758: Evrensel Güvenlik Grubu Silindi
  • 4763: Evrensel Dağıtım Grubu Silindi
  • 4776: Etki Alanı Denetleyicisi Bir Hesabın Kimlik Bilgilerini Doğrulamaya Çalıştı (NTLM)
  • 5136: Dizin hizmeti nesnesi değiştirildi
  • 7045: Yeni Hizmet Yüklendi
  • 8004: NTLM Kimlik Doğrulaması

Daha fazla bilgi için bkz . NTLM denetimini yapılandırma ve Etki alanı nesnesi denetimini yapılandırma.

Tek başına algılayıcılar için olay toplama

Tek başına Kimlik için Defender algılayıcısıyla çalışıyorsanız, aşağıdaki yöntemlerden birini kullanarak olay koleksiyonunu el ile yapılandırın:

Önemli

Kimlik için Defender tek başına algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.

Daha fazla bilgi için SIEM sisteminizin veya syslog sunucunuzun ürün belgelerine bakın.

Sonraki adım

Windows olay günlükleri için denetim ilkelerini yapılandırma