Configurar a coleção de Eventos do Windows
Microsoft Defender para Identidade detecção depende de entradas específicas do log de eventos Windows para aprimorar algumas detecções e fornecer informações adicionais sobre quem realizou ações específicas, como logons NTLM, modificações de grupo de segurança e eventos semelhantes. Para que os eventos corretos sejam auditados e incluídos no Log de Eventos do Windows, seus controladores de domínio exigem configurações precisas de política de auditoria avançada. Configurações incorretas da Política de Auditoria Avançada podem levar aos eventos necessários que não estão sendo registrados no Log de Eventos e resultar na cobertura incompleta do Defender para Identidade.
Para aprimorar os recursos de detecção de ameaças, o Defender para Identidade precisa dos seguintes eventos de Windows a serem configurados e coletados pelo Defender para Identidade:
Eventos relevantes do Windows
Para eventos dos Serviços de Federação do Active Directory (AD FS)
- 1202 – o Serviço de Federação validou uma nova credencial
- 1203 – o Serviço de Federação falhou na validação de uma nova credencial
- 4624 – logon de uma conta feito com êxito
- 4625 – falha no logon de uma conta
Para outros eventos
- 1644 – Pesquisa LDAP
- 4662 – uma operação foi executada em um objeto
- 4726 – conta de usuário excluída
- 4728 – membro adicionado ao grupo de segurança global
- 4729 – membro removido do grupo de segurança global
- 4730 – grupo de segurança global excluído
- 4732 – membro adicionado ao grupo de segurança local
- 4733 – membro removido do grupo de segurança local
- 4741 – Conta do computador adicionada
- 4743 – conta de computador excluída
- 4753 – grupo de distribuição global excluído
- 4756 – membro adicionado ao grupo de segurança universal
- 4757 – membro removido do grupo de segurança universal
- 4758 – grupo de segurança universal excluído
- 4763 – grupo de distribuição universal excluído
- 4776 – controlador de domínio tentou validar credenciais para uma conta (NTLM)
- 7045 – novo serviço instalado
- 8004 – autenticação NTLM
Configurar políticas de auditoria
Modifique as políticas de auditoria avançadas do seu controlador de domínio usando as instruções a seguir:
Entre no servidor como Administrador de domínio.
Abra o Editor de Gerenciamento de Política de Grupo em Gerenciador do Servidor>Ferramentas>Gerenciamento de Política de Grupo.
Expanda as Unidades Organizacionais dos Controladores de Domínio, clique com o botão direito do mouse na Política de Controladores de Domínio Padrão e selecione Editar.
Observação
Você pode usar a Política de controladores de domínio padrão ou um GPO dedicado para definir essas políticas.
Na janela que é aberta, acesse Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança e, dependendo da política que você deseja habilitar, faça o seguinte:
Para configuração da política de auditoria avançada
Acesse Configuração da Política de Auditoria Avançada>Políticas de Auditoria.
Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar os eventos de auditoria a seguir para eventos de Êxito e de Falha.
Política de auditoria Subcategoria IDs dos eventos de gatilho Logon da conta Auditoria da validação de credenciais 4776 Gerenciamento de Contas Auditoria do gerenciamento da conta de computador 4741, 4743 Gerenciamento de Contas Auditoria do gerenciamento do grupo de distribuição 4753, 4763 Gerenciamento de Contas Auditoria de gerenciamento do grupo de distribuição 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Gerenciamento de Contas Auditoria de gerenciamento de conta de usuário 4726 Acesso DS Auditoria de acesso do serviço de diretório 4662 – Para esse evento, também é necessário Configurar a auditoria de objeto. Sistema Auditoria da extensão do sistema de segurança 7045 Por exemplo, para configurar Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Conta, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e, em seguida, selecione Configurar os eventos de auditoria a seguir para eventos de Êxito e de Falha.
Em um prompt de comandos com privilégios elevados, digite
gpupdate
.Observação
Essa etapa deve ser executada em todos os controladores de domínio no domínio ou você pode aguardar o próximo ciclo de atualização para atualizá-los (por padrão, dentro de 90 minutos)
Depois de aplicar via GPO, os novos eventos ficam visíveis no Visualizador de Eventos, em Windows Logs ->Security.
Observação
Se você optar por usar uma política de segurança local em vez de usar uma política de grupo, adicione os logs de auditoria de Logon da Conta, Gerenciamento da Conta e Opções de Segurança em sua política local. Se você estiver configurando a política de auditoria avançada, force a subcategoria de política de auditoria.
ID do evento 8004
Para auditar a ID do evento 8004, são necessárias etapas de configuração adicionais.
Observação
- As políticas de grupo de domínio para coletar o Evento 8004 do Windows devem ser aplicadas somente aos controladores de domínio.
- Quando Windows Evento 8004 é analisado pelo Sensor de Identidade do Defender para Identidade, as atividades de autenticação NTLM do Defender para Identidade são enriquecidas com os dados acessados pelo servidor.
Seguindo as etapas acima, abra Gerenciamento de Política de Grupo e navegue até a Política dos Controladores de Domínio Padrão.
Acesse Políticas Locais>Opções de Segurança.
Em Opções de Segurança, configure as políticas de segurança especificadas, da seguinte maneira
Configuração de política de segurança Valor Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Auditar tudo Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio Habilitar tudo Segurança de rede: restringir NTLM: Auditar tráfego NTLM de entrada Habilitar auditoria para todas as contas Por exemplo, para configurar Tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: restringir NTLM: Tráfego NTLM de saída para servidores remotos e, em seguida, selecione Auditar todos.
ID do evento 1644
Windows evento 1644 não é coletado por padrão em controladores de domínio e precisa ser ativado manualmente para dar suporte a esse recurso. Isso é feito criando essas chaves do Registro com os seguintes valores:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Configurar a auditoria de objeto
Para coletar 4662 eventos, também é necessário configurar a auditoria de objetos nos objetos de usuário, grupo e computador. Aqui está um exemplo de como habilitar a auditoria em todos os usuários, grupos e computadores no domínio do Active Directory, mas também pode ser no escopo da UO (unidade organizacional):
Observação
É importante revisar e verificar suas políticas de auditoria antes de permitir a coleta de eventos a fim de garantir que os controladores de domínio estejam configurados corretamente para registrar os eventos necessários.
Vá para o console Usuários e Computadores do Active Directory.
Selecione o domínio ou a UO que contém usuários, grupos ou computadores que você deseja auditar.
Clique com o botão direito do mouse no contêiner (o domínio ou a UO) e selecione Propriedades.
Acesse a guia Segurança e selecione Avançado.
Em Configurações de Segurança Avançadas, escolha a guia Auditoria. Selecione Adicionar.
Clique em Selecionar uma entidade.
Em Insira o nome do objeto para selecionar, digite Todos. Selecione Verificar Nomes e selecione OK.
Você retornará para a Entrada de Auditoria. Faça as seguintes seleções:
Para Tipo, selecione Êxito.
Para Aplica-se a, selecione Objetos do Usuário Descendente.
Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Controle Total. Todas as permissões serão selecionadas. Em seguida, desmarque o conteúdo da lista, as permissões de leitura e as permissões de leitura de todas as propriedades . Depois, selecione OK. Isso definirá todas as configurações de Propriedades como Gravação. Agora, quando disparado, todas as alterações relevantes nos serviços de diretório serão exibidas como 4662 eventos.
Em seguida, repita as etapas acima, mas para Aplica-se a, selecione Objetos de Grupo Descendente e, em seguida, novamente para objetos de computador descendentes.
Auditoria para detecções específicas
Algumas detecções exigem a auditoria de objetos do Active Directory específicos. Para fazer isso, siga as etapas acima, mas observe as alterações abaixo sobre quais objetos auditar e quais permissões incluir.
Habilitar a auditoria em um objeto do ADFS
Vá para o console Computadores e Usuários do Active Directory e escolha o domínio no qual você deseja habilitar os logs.
Navegue até Dados do Programa>Microsoft>ADFS.
Clique com o botão direito do mouse em ADFS e selecione Propriedades.
Acesse a guia Segurança e selecione Avançado.
Em Configurações de Segurança Avançadas, escolha a guia Auditoria. Selecione Adicionar.
Clique em Selecionar uma entidade.
Em Insira o nome do objeto para selecionar, digite Todos. Selecione Verificar Nomes e selecione OK.
Você retornará para a Entrada de Auditoria. Faça as seguintes seleções:
- Para Tipo, selecione Tudo.
- Na lista Aplica-se a, selecione Este objeto e todos os descendentes.
- Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.
Selecione OK.
Habilitar a auditoria em um objeto do Exchange
Abrir o ADSI Editar. Para fazer isso, selecione Iniciar, selecione Executar, digite ADSIEdit.msc e selecione OK.
No menu Ação, selecione Conectar a.
Na caixa de diálogo Configurações de Conexão em Selecionar um Contexto de Nomenclatura bem conhecido, selecione Configuração e selecione OK.
Expanda o contêiner Configuração. No contêiner Configuração, você verá o nó Configuração. Ele começará com “CN=Configuration,DC=..."
Clique com o botão direito do mouse no nó Configuração e selecione Propriedades.
Acesse a guia Segurança e selecione Avançado.
Em Configurações de Segurança Avançadas, escolha a guia Auditoria. Selecione Adicionar.
Clique em Selecionar uma entidade.
Em Insira o nome do objeto para selecionar, digite Todos. Selecione Verificar Nomes e selecione OK.
Você retornará para a Entrada de Auditoria. Faça as seguintes seleções:
- Para Tipo, selecione Tudo.
- Na lista Aplica-se a, selecione Este objeto e todos os descendentes.
- Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.
Selecione OK.
Configurar coleta de eventos
Esses eventos podem ser coletados automaticamente pelo sensor do Defender para Identidade ou, se o sensor do Defender para Identidade não for implantado, eles poderão ser encaminhados para o sensor autônomo do Defender para Identidade de uma das seguintes maneiras:
- Configurar o sensor autônomo do Defender para Identidade para escutar eventos SIEM
- Configurar o encaminhamento de eventos do Windows
Observação
- Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.