Recolha de eventos com o Microsoft Defender for Identity
Um sensor do Microsoft Defender for Identity está configurado para coletar automaticamente eventos syslog. Para eventos do Windows, a deteção do Defender for Identity depende de logs de eventos específicos. O sensor analisa esses logs de eventos dos controladores de domínio.
Recolha de eventos para servidores AD FS, servidores AD CS, servidores Microsoft Entra Connect e controladores de domínio
Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, os servidores dos Serviços de Federação do Ative Directory (AD FS), os servidores dos Serviços de Certificados do Ative Directory (AD CS), os servidores Microsoft Entra Connect ou os controladores de domínio exigem configurações precisas de Política de Auditoria Avançada.
Para obter mais informações, consulte Configurar políticas de auditoria para logs de eventos do Windows.
Referência dos eventos necessários
Esta seção lista os eventos do Windows que o sensor do Defender for Identity requer quando instalado em servidores AD FS, servidores AD CS, servidores Microsoft Entra Connect ou controladores de domínio.
Eventos do AD FS necessários
Os seguintes eventos são necessários para servidores AD FS:
- 1202: O Serviço de Federação validou uma nova credencial
- 1203: O Serviço de Federação não conseguiu validar uma nova credencial
- 4624: Uma conta foi iniciada com êxito
- 4625: Falha ao iniciar sessão numa conta
Para obter mais informações, consulte Configurar auditoria nos Serviços de Federação do Ative Directory.
Eventos do AD CS necessários
Os seguintes eventos são necessários para servidores AD CS:
- 4870: Os Serviços de Certificados revogaram um certificado
- 4882: As permissões de segurança para os Serviços de Certificados foram alteradas
- 4885: O filtro de auditoria para Serviços de Certificados foi alterado
- 4887: Os Serviços de Certificados aprovaram um pedido de certificado e emitiram um certificado
- 4888: Serviços de certificados negaram uma solicitação de certificado
- 4890: As configurações do gerenciador de certificados para Serviços de Certificados foram alteradas
- 4896: Uma ou mais linhas foram excluídas do banco de dados de certificados
Para obter mais informações, consulte Configurar auditoria para Serviços de Certificados do Ative Directory.
Eventos necessários do Microsoft Entra Connect
O seguinte evento é necessário para servidores Microsoft Entra Connect:
- 4624: Uma conta foi iniciada com êxito
Para obter mais informações, consulte Configurar auditoria no Microsoft Entra Connect.
Outros eventos necessários do Windows
Os seguintes eventos gerais do Windows são necessários para todos os sensores do Defender for Identity:
- 4662: Uma operação foi realizada em um objeto
- 4726: Conta de usuário excluída
- 4728: Membro adicionado ao Grupo de Segurança Global
- 4729: Membro removido do Grupo de Segurança Global
- 4730: Grupo de Segurança Global Excluído
- 4732: Membro adicionado ao grupo de segurança local
- 4733: Membro removido do grupo de segurança local
- 4741: Conta de computador adicionada
- 4743: Conta de computador excluída
- 4753: Grupo de distribuição global excluído
- 4756: Membro adicionado ao Universal Security Group
- 4757: Membro removido do Universal Security Group
- 4758: Universal Security Group excluído
- 4763: Grupo de distribuição universal excluído
- 4776: Controlador de domínio tentou validar credenciais para uma conta (NTLM)
- 5136: Um objeto de serviço de diretório foi modificado
- 7045: Novo serviço instalado
- 8004: Autenticação NTLM
Para obter mais informações, consulte Configurar auditoria NTLM e Configurar auditoria de objeto de domínio.
Recolha de eventos para sensores autónomos
Se você estiver trabalhando com um sensor autônomo do Defender for Identity, configure a coleta de eventos manualmente usando um dos seguintes métodos:
- Ouça os eventos de gerenciamento de eventos e informações de segurança (SIEM) no sensor autônomo do Defender for Identity. O Defender for Identity suporta o tráfego UDP (User Datagram Protocol) do seu sistema SIEM ou do seu servidor syslog.
- Configure o encaminhamento de eventos do Windows para o sensor autônomo do Defender for Identity. Ao encaminhar dados syslog para um sensor autônomo, certifique-se de não encaminhar todos os dados syslog para o sensor.
Importante
Os sensores autónomos do Defender for Identity não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implantação do sensor Defender for Identity.
Para obter mais informações, consulte a documentação do produto para seu sistema SIEM ou seu servidor syslog.