Configurar a coleção de Eventos do Windows

Microsoft Defender para Identidade detecção depende de entradas específicas do log de eventos Windows para aprimorar algumas detecções e fornecer informações adicionais sobre quem realizou ações específicas, como logons NTLM, modificações de grupo de segurança e eventos semelhantes. Para que os eventos corretos sejam auditados e incluídos no Log de Eventos do Windows, seus controladores de domínio exigem configurações precisas de política de auditoria avançada. Configurações incorretas da Política de Auditoria Avançada podem levar aos eventos necessários que não estão sendo registrados no Log de Eventos e resultar na cobertura incompleta do Defender para Identidade.

Para aprimorar os recursos de detecção de ameaças, o Defender para Identidade precisa dos seguintes eventos de Windows a serem configurados e coletados pelo Defender para Identidade:

Eventos relevantes do Windows

Para eventos dos Serviços de Federação do Active Directory (AD FS)

  • 1202 – o Serviço de Federação validou uma nova credencial
  • 1203 – o Serviço de Federação falhou na validação de uma nova credencial
  • 4624 – logon de uma conta feito com êxito
  • 4625 – falha no logon de uma conta

Para outros eventos

  • 1644 – Pesquisa LDAP
  • 4662 – uma operação foi executada em um objeto
  • 4726 – conta de usuário excluída
  • 4728 – membro adicionado ao grupo de segurança global
  • 4729 – membro removido do grupo de segurança global
  • 4730 – grupo de segurança global excluído
  • 4732 – membro adicionado ao grupo de segurança local
  • 4733 – membro removido do grupo de segurança local
  • 4741 – Conta do computador adicionada
  • 4743 – conta de computador excluída
  • 4753 – grupo de distribuição global excluído
  • 4756 – membro adicionado ao grupo de segurança universal
  • 4757 – membro removido do grupo de segurança universal
  • 4758 – grupo de segurança universal excluído
  • 4763 – grupo de distribuição universal excluído
  • 4776 – controlador de domínio tentou validar credenciais para uma conta (NTLM)
  • 7045 – novo serviço instalado
  • 8004 – autenticação NTLM

Configurar políticas de auditoria

Modifique as políticas de auditoria avançadas do seu controlador de domínio usando as instruções a seguir:

  1. Entre no servidor como Administrador de domínio.

  2. Abra o Editor de Gerenciamento de Política de Grupo em Gerenciador do Servidor>Ferramentas>Gerenciamento de Política de Grupo.

  3. Expanda as Unidades Organizacionais dos Controladores de Domínio, clique com o botão direito do mouse na Política de Controladores de Domínio Padrão e selecione Editar.

    Observação

    Você pode usar a Política de controladores de domínio padrão ou um GPO dedicado para definir essas políticas.

    Edit domain controller policy.

  4. Na janela que é aberta, acesse Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança e, dependendo da política que você deseja habilitar, faça o seguinte:

    Para configuração da política de auditoria avançada

    1. Acesse Configuração da Política de Auditoria Avançada>Políticas de Auditoria. Advanced Audit Policy Configuration.

    2. Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar os eventos de auditoria a seguir para eventos de Êxito e de Falha.

      Política de auditoria Subcategoria IDs dos eventos de gatilho
      Logon da conta Auditoria da validação de credenciais 4776
      Gerenciamento de Contas Auditoria do gerenciamento da conta de computador 4741, 4743
      Gerenciamento de Contas Auditoria do gerenciamento do grupo de distribuição 4753, 4763
      Gerenciamento de Contas Auditoria de gerenciamento do grupo de distribuição 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gerenciamento de Contas Auditoria de gerenciamento de conta de usuário 4726
      Acesso DS Auditoria de acesso do serviço de diretório 4662 – Para esse evento, também é necessário Configurar a auditoria de objeto.
      Sistema Auditoria da extensão do sistema de segurança 7045

      Por exemplo, para configurar Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Conta, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e, em seguida, selecione Configurar os eventos de auditoria a seguir para eventos de Êxito e de Falha.

      Audit Security Group Management.

  5. Em um prompt de comandos com privilégios elevados, digite gpupdate.

    Observação

    Essa etapa deve ser executada em todos os controladores de domínio no domínio ou você pode aguardar o próximo ciclo de atualização para atualizá-los (por padrão, dentro de 90 minutos)

  6. Depois de aplicar via GPO, os novos eventos ficam visíveis no Visualizador de Eventos, em Windows Logs ->Security.

Observação

Se você optar por usar uma política de segurança local em vez de usar uma política de grupo, adicione os logs de auditoria de Logon da Conta, Gerenciamento da Conta e Opções de Segurança em sua política local. Se você estiver configurando a política de auditoria avançada, force a subcategoria de política de auditoria.

ID do evento 8004

Para auditar a ID do evento 8004, são necessárias etapas de configuração adicionais.

Observação

  • As políticas de grupo de domínio para coletar o Evento 8004 do Windows devem ser aplicadas somente aos controladores de domínio.
  • Quando Windows Evento 8004 é analisado pelo Sensor de Identidade do Defender para Identidade, as atividades de autenticação NTLM do Defender para Identidade são enriquecidas com os dados acessados pelo servidor.
  1. Seguindo as etapas acima, abra Gerenciamento de Política de Grupo e navegue até a Política dos Controladores de Domínio Padrão.

  2. Acesse Políticas Locais>Opções de Segurança.

  3. Em Opções de Segurança, configure as políticas de segurança especificadas, da seguinte maneira

    Configuração de política de segurança Valor
    Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio Habilitar tudo
    Segurança de rede: restringir NTLM: Auditar tráfego NTLM de entrada Habilitar auditoria para todas as contas

    Por exemplo, para configurar Tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: restringir NTLM: Tráfego NTLM de saída para servidores remotos e, em seguida, selecione Auditar todos.

    Audit Outgoing NTLM traffic to remote servers.

ID do evento 1644

Windows evento 1644 não é coletado por padrão em controladores de domínio e precisa ser ativado manualmente para dar suporte a esse recurso. Isso é feito criando essas chaves do Registro com os seguintes valores:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Configurar a auditoria de objeto

Para coletar 4662 eventos, também é necessário configurar a auditoria de objetos nos objetos de usuário, grupo e computador. Aqui está um exemplo de como habilitar a auditoria em todos os usuários, grupos e computadores no domínio do Active Directory, mas também pode ser no escopo da UO (unidade organizacional):

Observação

É importante revisar e verificar suas políticas de auditoria antes de permitir a coleta de eventos a fim de garantir que os controladores de domínio estejam configurados corretamente para registrar os eventos necessários.

  1. Vá para o console Usuários e Computadores do Active Directory.

  2. Selecione o domínio ou a UO que contém usuários, grupos ou computadores que você deseja auditar.

  3. Clique com o botão direito do mouse no contêiner (o domínio ou a UO) e selecione Propriedades.

    Container properties.

  4. Acesse a guia Segurança e selecione Avançado.

    Advanced security properties.

  5. Em Configurações de Segurança Avançadas, escolha a guia Auditoria. Selecione Adicionar.

    Select auditing tab.

  6. Clique em Selecionar uma entidade.

    Select a principal.

  7. Em Insira o nome do objeto para selecionar, digite Todos. Selecione Verificar Nomes e selecione OK.

    Select everyone.

  8. Você retornará para a Entrada de Auditoria. Faça as seguintes seleções:

    • Para Tipo, selecione Êxito.

    • Para Aplica-se a, selecione Objetos do Usuário Descendente.

    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Controle Total. Todas as permissões serão selecionadas. Em seguida, desmarque o conteúdo da lista, as permissões de leitura e as permissões de leitura de todas as propriedades . Depois, selecione OK. Isso definirá todas as configurações de Propriedades como Gravação. Agora, quando disparado, todas as alterações relevantes nos serviços de diretório serão exibidas como 4662 eventos.

      Select permissions.

      Select properties.

  9. Em seguida, repita as etapas acima, mas para Aplica-se a, selecione Objetos de Grupo Descendente e, em seguida, novamente para objetos de computador descendentes.

Auditoria para detecções específicas

Algumas detecções exigem a auditoria de objetos do Active Directory específicos. Para fazer isso, siga as etapas acima, mas observe as alterações abaixo sobre quais objetos auditar e quais permissões incluir.

Habilitar a auditoria em um objeto do ADFS

  1. Vá para o console Computadores e Usuários do Active Directory e escolha o domínio no qual você deseja habilitar os logs.

  2. Navegue até Dados do Programa>Microsoft>ADFS.

    ADFS container.

  3. Clique com o botão direito do mouse em ADFS e selecione Propriedades.

  4. Acesse a guia Segurança e selecione Avançado.

  5. Em Configurações de Segurança Avançadas, escolha a guia Auditoria. Selecione Adicionar.

  6. Clique em Selecionar uma entidade.

  7. Em Insira o nome do objeto para selecionar, digite Todos. Selecione Verificar Nomes e selecione OK.

  8. Você retornará para a Entrada de Auditoria. Faça as seguintes seleções:

    • Para Tipo, selecione Tudo.
    • Na lista Aplica-se a, selecione Este objeto e todos os descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.

    Auditing settings for ADFS.

  9. Selecione OK.

Habilitar a auditoria em um objeto do Exchange

  1. Abrir o ADSI Editar. Para fazer isso, selecione Iniciar, selecione Executar, digite ADSIEdit.msc e selecione OK.

  2. No menu Ação, selecione Conectar a.

  3. Na caixa de diálogo Configurações de Conexão em Selecionar um Contexto de Nomenclatura bem conhecido, selecione Configuração e selecione OK.

  4. Expanda o contêiner Configuração. No contêiner Configuração, você verá o nó Configuração. Ele começará com “CN=Configuration,DC=..."

  5. Clique com o botão direito do mouse no nó Configuração e selecione Propriedades.

    Configuration node properties.

  6. Acesse a guia Segurança e selecione Avançado.

  7. Em Configurações de Segurança Avançadas, escolha a guia Auditoria. Selecione Adicionar.

  8. Clique em Selecionar uma entidade.

  9. Em Insira o nome do objeto para selecionar, digite Todos. Selecione Verificar Nomes e selecione OK.

  10. Você retornará para a Entrada de Auditoria. Faça as seguintes seleções:

    • Para Tipo, selecione Tudo.
    • Na lista Aplica-se a, selecione Este objeto e todos os descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.

    Auditing settings for Configuration.

  11. Selecione OK.

Configurar coleta de eventos

Esses eventos podem ser coletados automaticamente pelo sensor do Defender para Identidade ou, se o sensor do Defender para Identidade não for implantado, eles poderão ser encaminhados para o sensor autônomo do Defender para Identidade de uma das seguintes maneiras:

Observação

  • Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.

Consulte Também