Configurar políticas de auditoria para logs de eventos do Windows
Para aprimorar as detecções e coletar mais informações sobre as ações do usuário, como logons NTLM e alterações no grupo de segurança, o Microsoft Defender para Identidade depende de entradas específicas nos logs de eventos do Windows. A configuração adequada das definições da Política de Auditoria Avançada nos seus controladores de domínio é crucial para evitar lacunas nos registros de eventos e cobertura incompleta do Defender para Identidade.
Este artigo descreve como definir as configurações da Política de Auditoria Avançada conforme necessário para um sensor do Defender para Identidade. Ele também descreve outras configurações para tipos de eventos específicos.
O Defender for Identity gera problemas de integridade para cada um desses cenários se eles forem detectados. Para obter mais informações, consulte Problemas de integridade do Microsoft Defender for Identity.
Pré-requisitos
- Antes de executar os comandos do PowerShell do Defender para Identidade, certifique-se de que você baixou o Módulo do PowerShell do Defender para Identidade.
Gerar um relatório das configurações atuais por meio do PowerShell
Antes de começar a criar novas políticas de evento e auditoria, recomendamos que você execute o seguinte comando do PowerShell para gerar um relatório de suas configurações de domínio atuais:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
No comando anterior:
Path
especifica o caminho para salvar os relatórios.Mode
Especifica se você deseja usar o modoDomain
ou o modoLocalMachine
. No modoDomain
as configurações são coletadas dos objetos de política de grupo (GPOs). No modoLocalMachine
as configurações são coletadas do computador local.OpenHtmlReport
abre o relatório HTML depois que o relatório é gerado.
Por exemplo, para gerar um relatório e abri-lo no navegador padrão, execute o seguinte comando:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Para saber mais, consulte a referência do PowerShell do Defender para Identidade.
Dica
O Domain
relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se tiver definições definidas localmente nos seus controladores de domínio, recomendamos que execute também o script Test-MdiReadiness.ps1.
Configurar auditoria para controladores de domínio
Atualize suas configurações de Política de Auditoria Avançada e configurações extras para eventos e tipos de eventos específicos, como usuários, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:
- Configurações de Política de Auditoria Avançada
- Auditoria NTLM
- Auditoria de objeto de domínio
Use os procedimentos a seguir para configurar a auditoria nos controladores de domínio que você está usando com o Defender para Identidade.
Definir as configurações de Política de Auditoria Avançada a partir da IU
Este procedimento descreve como modificar as configurações da Política de Auditoria Avançada do seu controlador de domínio, conforme necessário, para o Defender para Identidade por meio da interface do usuário.
Problema de integridade relacionado: A auditoria avançada dos serviços de diretório não está habilitada conforme necessário
Para definir suas configurações de Política de Auditoria Avançada:
Faça logon no servidor como Administrador de Domínio.
Abra o Editor de Gerenciamento de Política de Grupo em Gerenciador de Servidores>Ferramentas>Gerenciamento de Política de Grupo.
Expanda as Unidades Organizacionais de Controladores de Domínio, clique com botão direito do mouse em Política de Controladores de Domínio Padrão e em seguida, selecione Editar.
Observação
Use a política de Controladores de Domínio Padrão ou um GPO dedicado para definir essas políticas.
Na janela que se abre, vá para Configuração do Computador>Políticas>Configurações do Windows>Configurações de segurança. Dependendo da política que você deseja habilitar, faça o seguinte:
Vá para Configuração de Política de Auditoria Avançada>Políticas de Auditoria.
Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha.
Política de auditoria Subcategoria Dispara IDs de evento Logon da conta Auditoria da Validação de Credenciais 4776 Gerenciamento de Contas Auditoria do Gerenciamento de Contas de Computadores* 4741, 4743 Gerenciamento de Contas Auditoria do Gerenciamento do Grupo de Distribuição* 4753, 4763 Gerenciamento de Contas Auditoria do Gerenciamento do Grupo de Segurança* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Gerenciamento de Contas Auditoria do Gerenciamento de Contas de Usuário 4726 Acesso DS Auditoria de Alterações no Serviço de Diretório 5136 Sistema Auditoria da Extensão do Sistema de Segurança* 7045 Acesso DS Auditoria do Acesso ao Serviço de Diretório 4662 (para este evento, você também precisa configurar a auditoria de objetos de domínio) Observação
* As subcategorias observadas não oferecem suporte a eventos de falha. No entanto, recomendamos adicioná-los para fins de auditoria caso sejam implementados no futuro. Para obter mais informações, consulte Auditoria do Gerenciamento da Conta de Computador, Auditoria de Gerenciamento de Grupo de Segurança e Auditoria de Extensão de Sistema de Segurança.
Por exemplo, para configurar o Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Conta, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha.
Em um prompt de comandos com privilégios elevados, insira
gpupdate
.Depois de aplicar a política por meio do GPO, verifique se os novos eventos aparecem no Visualizador de Eventos em logs do Windows>Segurança.
Para testar suas políticas de auditoria da linha de comando, execute o seguinte comando:
auditpol.exe /get /category:*
Para mais informações, consulte a documentação de referência de auditpol.
Configurar as definições da Política de Auditoria Avançada usando o PowerShell
As ações a seguir descrevem como modificar as configurações da Política de Auditoria Avançada do seu controlador de domínio conforme necessário para o Defender para Identidade usando o PowerShell.
Problema de integridade relacionado: A auditoria avançada dos serviços de diretório não está habilitada conforme necessário
Para definir suas configurações, execute:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
No comando anterior:
Mode
Especifica se você deseja usar o modoDomain
ou o modoLocalMachine
. No modoDomain
as configurações são coletadas dos objetos de política de grupo. No modoLocalMachine
as configurações são coletadas do computador local.Configuration
especifica qual configuração definir. UseAll
para definir todas as configurações.CreateGpoDisabled
especifica se os GPOs são criados e mantidos como desabilitados.SkipGpoLink
especifica que os links de GPO não são criados.Force
especifica que a configuração está definida ou que os GPOs são criados sem validar o estado atual.
Para exibir suas políticas de auditoria, use o comando Get-MDIConfiguration
para mostrar os valores atuais:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
No comando anterior:
Mode
Especifica se você deseja usar o modoDomain
ou o modoLocalMachine
. No modoDomain
as configurações são coletadas dos objetos de política de grupo. No modoLocalMachine
as configurações são coletadas do computador local.Configuration
especifica a configuração a ser obtida. UseAll
para obter todas as configurações.
Para testar suas políticas de auditoria, use o comando Test-MDIConfiguration
para obter uma resposta true
ou false
sobre se os valores estão configurados corretamente:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
No comando anterior:
Mode
Especifica se você deseja usar o modoDomain
ou o modoLocalMachine
. No modoDomain
as configurações são coletadas dos objetos de política de grupo. No modoLocalMachine
as configurações são coletadas do computador local.Configuration
especifica a configuração a ser testada. UseAll
para testar todas as configurações.
Para saber mais, consulte as seguintes referências do Defender para Identidade do PowerShell:
Configurar auditoria NTLM
Esta seção descreve as etapas de configuração adicionais necessárias para auditar o evento 8004 do Windows.
Observação
- Devem ser aplicadas políticas de grupo de domínio para coletar o evento 8004 do Windows somente a controladores de domínio.
- Quando um sensor do Defender para Identidade analisa o evento 8004 do Windows, as atividades de autenticação NTLM do Defender para Identidade são enriquecidas com os dados acessados pelo servidor.
Problema de integridade relacionado: A auditoria NTLM não está habilitada
Para configurar a auditoria NTLM:
Depois de definir as configurações iniciais da Política de Auditoria Avançada (por meio da UI ou PowerShell), abra o Gerenciamento de Política de Grupo. Em seguida, vá para Política de Controladores de Domínio Padrão>Políticas Locais>Opções de Segurança.
Configure as políticas de segurança especificadas da seguinte maneira:
Configuração de política de segurança Valor Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Auditar tudo Segurança de rede: Restringir NTLM: Auditar autenticação NTLM neste domínio Habilitar tudo Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada Habilitar auditoria para todas as contas
Por exemplo, para configurar o Tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: restringir NTLM: tráfego NTLM de saída para servidores remotos e selecione Auditar tudo.
Configurar auditoria de objetos de domínio
Para coletar eventos de alterações de objeto, como o evento 4662, você também deve configurar a auditoria de objeto no usuário, grupo, computador e outros objetos. O procedimento a seguir descreve como habilitar a auditoria no domínio do Active Directory.
Importante
Revise e audite suas políticas (por meio da UI ou PowerShell) antes de habilitar a coleta de eventos, para garantir que os controladores de domínio estejam configurados corretamente para registrar os eventos necessários. Se essa auditoria for configurada corretamente, ela deverá ter um efeito mínimo no desempenho do servidor.
Problema de integridade relacionado:: A auditoria de objetos dos serviços de diretório não está habilitada conforme necessário
Para configurar a auditoria de objetos de domínio:
Vá para o console Usuários e Computadores do Active Directory.
Selecione o domínio que você deseja auditar.
Selecione o menu Exibir e em seguida, selecione Recursos Avançados.
Clique com o botão direito do mouse no domínio e selecione Propriedades.
Vá para a guia Segurança e em seguida, selecione Avançado.
Em Configurações de Segurança Avançadas, escolha a guia Auditoria e em seguida, escolha Adicionar.
Escolha Selecionar uma entidade principal.
Em Inserir o nome do objeto para selecionar, insira Todos. Em seguida Selecione Verificar Nomes>OK.
Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:
Em Tipo selecione Êxito.
Para Aplica-se a, selecione Objetos de usuário descendentes.
Em Permissões, role para baixo e selecione o botão Limpar tudo.
Role de volta para cima e selecione Controle Total. Todas as permissões são selecionadas.
Desmarque a seleção das permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e em seguida, selecione OK. Essa etapa define todas as configurações de Propriedades para Gravação.
Agora, todas as alterações relevantes nos serviços de diretório aparecem como eventos 4662 quando são acionadas.
Repita as etapas neste procedimento, mas para Aplica-se a, selecione os seguintes tipos de objeto:
- Objetos de Grupos Descendentes
- Objetos de Computadores Descendentes
- Objetos msDS-GroupManagedServiceAccount descendentes
- Objetos msDS-ManagedServiceAccount descendentes
Observação
A atribuição das permissões de auditoria em Todos os objetos descendentes também funcionaria, mas você precisa apenas dos tipos de objetos detalhados na última etapa.
Configurar auditoria no AD FS
Problema de integridade relacionado:: a auditoria no contêiner do AD FS não está habilitada conforme necessário
Para configurar auditoria nos Serviços de Federação do Active Directory (AD FS):
Acesse o console de Usuários e Computadores do Active Directory e selecione o domínio onde deseja habilitar os registros.
Vá para Dados do Programa>Microsoft>ADFS.
Clique com o botão direito do mouse em ADFS e selecione Propriedades.
Vá para a guia Segurança e selecione Avançado>Configurações avançadas de segurança. Em seguida, vá para a guia Auditoria e selecione Adicionar>Selecione uma entidade.
Em Inserir o nome do objeto para selecionar, insira Todos. Em seguida Selecione Verificar Nomes>OK.
Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:
- Para Tipo, selecione Todos.
- Em Aplica-se a selecione Este objeto e todos os objetos descendentes.
- Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.
Selecione OK.
Configurar auditoria no AD CS
Se estiver trabalhando com um servidor dedicado que tenha o AD CS (Serviços de Certificados do Active Directory) configurado, configure a auditoria da seguinte forma para visualizar alertas dedicados e relatórios do Secure Score:
Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-a e defina as seguintes configurações de auditoria:
Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração de Política de Auditoria Avançada\Políticas de Auditoria\Acesso a Objetos\Auditoria de Serviços de Certificados.
Selecione as caixas de seleção para configurar eventos de auditoria no caso de Êxito e Falha.
Configure a auditoria na CA (autoridade de certificação) usando um dos seguintes métodos:
Para configurar a auditoria da CA usando a linha de comando, execute:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Para configurar a auditoria da CA usando a GUI:
Selecione Iniciar>Autoridade de Certificação (aplicativo da área de trabalho MMC Desktop).. Clique com o botão direito do mouse no nome da Autoridade de Certificação e escolha Propriedades.
Escolha a guia Auditoria selecione todos os eventos que você deseja auditar e, em seguida, selecione Aplicar.
Observação
Configurar a auditoria de eventos Iniciar e Parar os Serviços de Certificados do Active Directory pode causar atrasos de reinicialização quando se está lidando com um grande banco de dados do AD CS. Considere remover entradas irrelevantes do banco de dados. Como alternativa, evite habilitar esse tipo específico de evento.
Configurar a auditoria no Microsoft Entra Connect
Para configurar a auditoria em servidores do Microsoft Entra Connect:
Crie uma política de grupo para aplicar aos servidores do Microsoft Entra Connect. Edite-a e defina as seguintes configurações de auditoria:
Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar o logon.
Selecione as caixas de seleção para configurar eventos de auditoria no caso de Êxito e Falha.
Configurar auditoria no contêiner de configuração
Problema de integridade relacionado: A auditoria no contêiner de configuração não está habilitada conforme necessário
Abra a ferramenta ADSI Edit. Selecione Iniciar>Executar, insira
ADSIEdit.msc
, e em seguida, selecione OK.No menu Ação, escolha Conectar a.
Na caixa de diálogo Configurações de Conexão em Selecionar um Contexto de Nomenclatura conhecido, selecione Configuração>OK.
Expanda o contêiner Configuração para mostrar o nó de Configuração, que começa com "CN=Configuration,DC=...".
Clique com o botão direito do mouse no nó Configuração e escolha Propriedades.
Selecione a guia Segurança e em seguida, selecione Avançado.
Em Configurações de Segurança Avançadas, escolha a guia Auditoria e em seguida, escolha Adicionar.
Escolha Selecionar uma entidade principal.
Em Inserir o nome do objeto para selecionar, insira Todos. Em seguida Selecione Verificar Nomes>OK.
Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:
- Para Tipo, selecione Todos.
- Em Aplica-se a selecione Este objeto e todos os objetos descendentes.
- Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.
Selecione OK.
Atualizar as configurações herdadas
O Defender para Identidade não requer mais o registro em log de 1644 eventos. Se você tiver essa configuração do Registro habilitada, poderá removê-la.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Conteúdo relacionado
Para saber mais, veja:
- Coleta de eventos com o Microsoft Defender para Identidade
- Auditoria de segurança do Windows
- Políticas de auditoria de segurança avançada