Raccolta di eventi con Microsoft Defender per identità
Il sensore Microsoft Defender per identità è configurato per raccogliere automaticamente gli eventi syslog. Per gli eventi di Windows, il rilevamento di Defender per identità si basa su registri eventi specifici, che il sensore analizza dai controller di dominio.
Raccolta di eventi per controller di dominio e server AD FS/Servizi certificati Active Directory
Affinché gli eventi corretti vengano controllati e inclusi nel registro eventi di Windows, i controller di dominio o i server AD FS/AD CS richiedono impostazioni accurate e avanzate dei criteri di controllo.
Per altre informazioni, vedere Configurare i criteri di controllo per i registri eventi di Windows.
Riferimento degli eventi obbligatori
Questa sezione elenca gli eventi di Windows richiesti dal sensore Defender per identità, se installati nei server AD FS/AD CS o nei controller di dominio.
Eventi di Active Directory Federation Services (AD FS) necessari
Per i server Active Directory Federation Services (AD FS) sono necessari gli eventi seguenti:
- 1202 - Il servizio federativo ha convalidato una nuova credenziale
- 1203 - Il servizio federativo non è riuscito a convalidare una nuova credenziale
- 4624 - È stato eseguito l'accesso a un account
- 4625 - Un account non è riuscito ad accedere
Per altre informazioni, vedere Configurare il controllo in un'istanza di Active Directory Federation Services (AD FS).
Eventi di Active Directory Certificate Services (AD CS) necessari
Per i server Servizi certificati Active Directory (AD CS) sono necessari gli eventi seguenti:
- 4870: Servizi certificati ha revocato un certificato
- 4882: Le autorizzazioni di sicurezza per Servizi certificati sono state modificate
- 4885: Filtro di controllo per Servizi certificati modificato
- 4887: Servizi certificati ha approvato una richiesta di certificato ed emesso un certificato
- 4888: Servizi certificati ha negato una richiesta di certificato
- 4890: Le impostazioni di Gestione certificati per Servizi certificati sono state modificate.
- 4896: una o più righe sono state eliminate dal database del certificato
Per altre informazioni, vedere Configurare il controllo per Servizi certificati Active Directory.For more information, see Configure auditing for Active Directory Certificate Services (AD CS).
Altri eventi di Windows necessari
Per tutti i sensori Defender per identità sono necessari gli eventi di Windows generali seguenti:
- 4662 - Un'operazione è stata eseguita su un oggetto
- 4726 - Account utente eliminato
- 4728 - Membro aggiunto al gruppo di sicurezza globale
- 4729 - Membro rimosso dal gruppo di sicurezza globale
- 4730 - Gruppo di sicurezza globale eliminato
- 4732 - Membro aggiunto al gruppo di sicurezza locale
- 4733 - Membro rimosso dal gruppo di sicurezza locale
- 4741 - Account computer aggiunto
- 4743 - Account computer eliminato
- 4753 - Gruppo di distribuzione globale eliminato
- 4756 - Membro aggiunto al gruppo di sicurezza universale
- 4757 - Membro rimosso dal gruppo di sicurezza universale
- 4758 - Gruppo di sicurezza universale eliminato
- 4763 - Gruppo di distribuzione universale eliminato
- 4776 - Controller di dominio ha tentato di convalidare le credenziali per un account (NTLM)
- 5136 - È stato modificato un oggetto servizio directory
- 7045 - Nuovo servizio installato
- 8004 - Autenticazione NTLM
Per altre informazioni, vedere Configurare il controllo NTLM e Configurare il controllo degli oggetti di dominio.
Raccolta di eventi per sensori autonomi
Se si usa un sensore autonomo defender per identità, configurare manualmente la raccolta di eventi usando uno dei metodi seguenti:
- Ascoltare gli eventi SIEM nel sensore autonomo defender per identità. Defender per identità supporta il traffico UDP dal server SIEM o syslog.
- Configurare l'inoltro di eventi di Windows al sensore autonomo defender per identità
Attenzione
Quando si inoltrano dati syslog a un sensore autonomo, assicurarsi di non inoltrare tutti i dati syslog al sensore.
Importante
I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Per altre informazioni, vedere la documentazione del prodotto siem o del server syslog.