Händelsesamling med Microsoft Defender för identitet
Microsoft Defender for Identity-sensorn är konfigurerad för att automatiskt samla in syslog-händelser. För Windows-händelser förlitar sig Defender för identitetsidentifiering på specifika händelseloggar, som sensorn parsar från dina domänkontrollanter.
Händelseinsamling för domänkontrollanter och AD FS/AD CS-servrar
För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver dina domänkontrollanter eller AD FS/AD CS-servrar korrekta, avancerade inställningar för granskningsprinciper.
Mer information finns i Konfigurera granskningsprinciper för Windows-händelseloggar.
Referens till nödvändiga händelser
I det här avsnittet visas de Windows-händelser som krävs av Defender för identitetssensorn, när de installeras på AD FS/AD CS-servrar eller på domänkontrollanter.
Nödvändiga Active Directory Federation Services (AD FS)-händelser (AD FS)
Följande händelser krävs för Active Directory Federation Services (AD FS) servrar (AD FS):
- 1202 – Federationstjänsten verifierade en ny autentiseringsuppgift
- 1203 – Federationstjänsten kunde inte verifiera en ny autentiseringsuppgift
- 4624 – Ett konto har loggats in
- 4625 – Det gick inte att logga in på ett konto
Mer information finns i Konfigurera granskning på en Active Directory Federation Services (AD FS) (AD FS).
Nödvändiga Active Directory Certificate Services-händelser (AD CS)
Följande händelser krävs för AD CS-servrar (Active Directory Certificate Services):
- 4870: Certifikattjänster återkallade ett certifikat
- 4882: Säkerhetsbehörigheterna för Certificate Services har ändrats
- 4885: Granskningsfiltret för Certificate Services har ändrats
- 4887: Certificate Services godkände en certifikatbegäran och utfärdade ett certifikat
- 4888: Certifikattjänster nekade en certifikatbegäran
- 4890: Inställningarna för certifikathanteraren för Certificate Services har ändrats.
- 4896: En eller flera rader har tagits bort från certifikatdatabasen
Mer information finns i Konfigurera granskning för Active Directory Certificate Services (AD CS).
Andra nödvändiga Windows-händelser
Följande allmänna Windows-händelser krävs för alla Defender för identitetssensorer:
- 4662 – En åtgärd utfördes på ett objekt
- 4726 – Användarkontot har tagits bort
- 4728 – Medlem tillagd i global säkerhetsgrupp
- 4729 – Medlem borttagen från global säkerhetsgrupp
- 4730 – Global säkerhetsgrupp borttagen
- 4732 – Medlem tillagd i lokal säkerhetsgrupp
- 4733 – Medlem borttagen från lokal säkerhetsgrupp
- 4741 – Datorkontot har lagts till
- 4743 – Datorkontot har tagits bort
- 4753 – Global distributionsgrupp borttagen
- 4756 – Medlem tillagd i universell säkerhetsgrupp
- 4757 – Medlem borttagen från universell säkerhetsgrupp
- 4758 – Universell säkerhetsgrupp borttagen
- 4763 – Universell distributionsgrupp borttagen
- 4776 – Domänkontrollant försökte verifiera autentiseringsuppgifter för ett konto (NTLM)
- 5136 – Ett katalogtjänstobjekt ändrades
- 7045 – Ny tjänst installerad
- 8004 – NTLM-autentisering
Mer information finns i Konfigurera NTLM-granskning och Konfigurera granskning av domänobjekt.
Händelsesamling för fristående sensorer
Om du arbetar med en fristående Defender for Identity-sensor konfigurerar du händelsesamlingen manuellt med någon av följande metoder:
- Lyssna efter SIEM-händelser på din fristående Defender for Identity-sensor. Defender for Identity stöder UDP-trafik från SIEM- eller syslog-servern.
- Konfigurera vidarebefordran av Windows-händelser till din fristående Defender for Identity-sensor
Varning
När du vidarebefordrar syslog-data till en fristående sensor ska du se till att inte vidarebefordra alla syslog-data till sensorn.
Viktigt!
Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.
Mer information finns i siem- eller syslog-serverns produktdokumentation.