具有Microsoft Defender for Identity的事件集合
Microsoft Defender for Identity传感器配置为自动收集 syslog 事件。 对于 Windows 事件,Defender for Identity 检测依赖于特定的事件日志。 传感器从域控制器分析这些事件日志。
AD FS 服务器、AD CS 服务器、Microsoft Entra Connect 服务器和域控制器的事件收集
若要审核并包含在 Windows 事件日志中的正确事件,Active Directory 联合身份验证服务 (AD FS) 服务器、Active Directory 证书服务 (AD CS) 服务器、Microsoft Entra Connect 服务器或域控制器需要准确的高级审核策略设置。
有关详细信息,请参阅 为 Windows 事件日志配置审核策略。
所需事件的引用
本部分列出了 Defender for Identity 传感器在 AD FS 服务器、AD CS 服务器、Microsoft Entra Connect 服务器或域控制器上安装时所需的 Windows 事件。
所需的 AD FS 事件
AD FS 服务器需要以下事件:
- 1202:联合身份验证服务验证了新凭据
- 1203:联合身份验证服务未能验证新凭据
- 4624:帐户已成功登录
- 4625:帐户登录失败
有关详细信息,请参阅在Active Directory 联合身份验证服务上配置审核。
必需的 AD CS 事件
AD CS 服务器需要以下事件:
- 4870:证书服务吊销了证书
- 4882:证书服务的安全权限已更改
- 4885:证书服务的审核筛选器已更改
- 4887:证书服务批准了证书请求并颁发了证书
- 4888:证书服务拒绝证书请求
- 4890:证书服务的证书管理器设置已更改
- 4896:已从证书数据库中删除一行或多行
有关详细信息,请参阅 配置 Active Directory 证书服务的审核。
必需的 Microsoft Entra Connect 事件
Microsoft Entra Connect 服务器需要以下事件:
- 4624:帐户已成功登录
有关详细信息,请参阅在 Microsoft Entra Connect 上配置审核。
其他必需的 Windows 事件
所有 Defender for Identity 传感器都需要以下常规 Windows 事件:
- 4662:对对象执行了操作
- 4726:已删除用户帐户
- 4728:成员已添加到全局安全组
- 4729:从全局安全组中删除成员
- 4730:已删除全局安全组
- 4732:已将成员添加到本地安全组
- 4733:从本地安全组中删除成员
- 4741:已添加计算机帐户
- 4743:已删除计算机帐户
- 4753:已删除全局通讯组
- 4756:成员已添加到通用安全组
- 4757:从通用安全组中删除成员
- 4758:已删除通用安全组
- 4763:已删除通用通讯组
- 4776:域控制器尝试验证帐户的凭据 (NTLM)
- 5136:修改了目录服务对象
- 7045:已安装新服务
- 8004:NTLM 身份验证
有关详细信息,请参阅 配置 NTLM 审核 和 配置域对象审核。
独立传感器的事件集合
如果使用的是独立的 Defender for Identity 传感器,请使用以下方法之一手动配置事件集合:
- 在 Defender for Identity 独立传感器上侦听安全信息和事件管理 (SIEM) 事件。 Defender for Identity 支持用户数据报协议 (UDP) 来自 SIEM 系统或 syslog 服务器的流量。
- 配置 Windows 事件转发到 Defender for Identity 独立传感器。 将 syslog 数据转发到独立传感器时,请确保不要 将所有 syslog 数据转发到传感器。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW 事件跟踪,) 为多个检测提供数据的日志条目。 为了全面覆盖环境,建议部署 Defender for Identity 传感器。
有关详细信息,请参阅 SIEM 系统或 syslog 服务器的产品文档。