Настройка аудита событий Windows

Настройте аудит событий Windows, чтобы включить обнаружения Defender for Identity. Датчик анализирует определенные журналы событий Windows с контроллеров домена, серверов AD FS, серверов AD CS и серверов Microsoft Entra Connect. Для аудита правильных событий и их включения в журнал событий Windows на этих серверах требуются правильные расширенные параметры политики аудита.

Настройте аудит с помощью одного из следующих методов:

Microsoft Defender for Identity формирует оповещения о работоспособности при обнаружении неверных параметров аудита событий Windows. Дополнительные сведения см. в разделе Оповещения о работоспособности Microsoft Defender для удостоверений.

При правильной настройке аудита Windows аудит событий оказывает минимальное влияние на производительность сервера.

Настройте Defender for Identity для автоматического сбора событий Windows

Если вы развертываете датчик версии 3.x на контроллерах домена, используйте автоматический аудит Windows. Это рекомендуемый подход; он не требует ручной настройки и обрабатывает все параметры аудита за вас.

Включение автоматического аудита Windows

  1. На портале Microsoft Defender перейдите в раздел Параметры, а затем — Удостоверения.
  2. В разделе Общие выберите Дополнительные функции.
  3. Включите автоматическую настройку аудита Windows.

Что настраивает автоматический аудит

Если этот параметр включен, датчик автоматически:

  • Проверяет текущую конфигурацию аудита событий Windows.
  • Определяет все пробелы в конфигурации.
  • Применяет все необходимые изменения, включая все действия в настройке вручную:
    • Расширенный аудит служб каталогов. Добавляет записи аудита в список системных контроль доступа (SACL) корневого объекта домена, чтобы включить необходимый аудит службы каталогов.
    • Аудит NTLM. Для настройки необходимых значений реестра NTLM используются стандартные API реестра Windows.
    • Аудит объектов домена: изменяет SACL в разделе конфигурации для регистрации изменений объектов конфигурации службы каталогов.
    • Аудит AD FS: Добавляет записи аудита в системный список управления доступом (SACL) объекта для контейнера конфигурации AD FS, чтобы включить аудит объектов каталога, связанных с AD FS.
    • Политика аудита Windows. Настраивает локальные политики аудита Windows с помощью API политики аудита локального центра безопасности Windows (LSA).
  • Применяет параметры аудита непосредственно к локальной системной политике контроллера домена.
  • Отправляет оповещения о состоянии конфигурации.
  • Выполняется каждые 24 часа.

Примечание.

Обязательные события Windows

В этом разделе перечислены события Windows, необходимые датчику Defender for Identity. Конкретные события зависят от типа сервера, на котором установлен датчик.

Обязательные события AD FS

Для серверов AD FS требуются следующие события:

  • 1202: служба федерации проверила новые учетные данные
  • 1203: службе федерации не удалось проверить новые учетные данные
  • 4624: Выполнен успешный вход в учетную запись
  • 4625: не удалось войти в учетную запись

Дополнительные сведения см. в разделе Настройка аудита на сервере AD FS.

Обязательные события AD CS

Для серверов AD CS требуются следующие события:

  • 4870: службы сертификатов отозвали сертификат
  • 4882: изменены разрешения безопасности для служб сертификатов
  • 4885: изменен фильтр аудита для служб сертификатов
  • 4887: службы сертификатов утвердили запрос на сертификат и выдали сертификат.
  • 4888: службы сертификатов отклонили запрос на сертификат
  • 4890: изменены параметры диспетчера сертификатов для служб сертификатов.
  • 4896: одна или несколько строк были удалены из базы данных сертификатов.

Дополнительные сведения см. в разделе Настройка аудита на сервере AD CS.

Обязательные события Microsoft Entra Connect

Для серверов Microsoft Entra Connect требуется следующее событие:

  • 4624: Выполнен успешный вход в учетную запись

Дополнительные сведения см. в разделе Настройка аудита в Microsoft Entra Connect.

Другие необходимые события Windows

Для всех сенсоров Defender for Identity на контроллерах домена требуются следующие общие события Windows:

  • 4662: операция была выполнена с объектом
  • 4726: учетная запись пользователя удалена
  • 4728: участник добавлен в глобальную группу безопасности
  • 4729: участник удален из глобальной группы безопасности
  • 4730: удалена глобальная группа безопасности
  • 4732: участник добавлен в локальную группу безопасности
  • 4733: участник удален из локальной группы безопасности
  • 4741: добавлена учетная запись компьютера
  • 4743: удалена учетная запись компьютера
  • 4753: удалена глобальная группа рассылки
  • 4756: участник добавлен в универсальную группу безопасности
  • 4757: член удален из универсальной группы безопасности
  • 4758: удалена универсальная группа безопасности
  • 4763: удалена универсальная группа рассылки
  • 4776: контроллер домена пытается проверить учетные данные для учетной записи (NTLM)
  • 5136: объект службы каталогов был изменен
  • 7045: новая служба установлена
  • 8004: проверка подлинности NTLM

Дополнительные сведения см. в разделах Настройка аудита NTLM и Настройка аудита объектов домена.

Коллекция событий для автономных датчиков

Если вы работаете с автономным датчиком Defender for Identity, настройте сбор событий вручную, используя один из следующих методов:

Важно!

Автономные датчики Defender for Identity не поддерживают сбор записей Event Tracing for Windows (ETW), которые используются для получения данных, необходимых для нескольких срабатываний. Чтобы обеспечить полное покрытие вашей среды, разверните датчик Defender for Identity.

Дополнительные сведения см. в документации по продукту для системы SIEM или сервера системного журнала.

Проверка текущей конфигурации

Перед тем как вручную настраивать сбор событий Windows, можно запустить сценарий PowerShell, чтобы проверить текущую конфигурацию и создать отчет о необходимых изменениях, которые нужно внести:

  1. Скачайте модуль PowerShell для Defender for Identity.

  2. Запустите модуль PowerShell Defender for Identity New-MDIConfigurationReport, чтобы создать отчет о текущей конфигурации аудита событий в Windows.

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport
    

    Где:

    • Path — это каталог, в котором сохраняется отчет.
    • Mode указывает, из чего собираются параметры.
      • В режиме Domain параметры собираются из объектов групповой политики (GPO). При использовании -Mode Domain включите параметр -Identity, чтобы избежать интерактивного приглашения.
      • В LocalMachine режиме параметры собираются с локального компьютера.
    • OpenHtmlReport открывает HTML-отчет после создания отчета. Например, чтобы создать отчет и открыть его в браузере по умолчанию, выполните следующую команду:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
    

    Дополнительные сведения см. в разделе New-MDIConfigurationReport.

  3. Просмотрите отчет и внесите необходимые корректировки перед настройкой сбора событий Windows.

Настройка сбора событий Windows вручную

В этом разделе содержатся инструкции по настройке коллекции событий Windows вручную. Выполните следующие действия, если вы развертываете сенсор версии 2.x, выполняете развертывание на серверах AD FS, AD CS или Entra Connect, которые не являются контроллерами домена, либо если вы отключили автоматический аудит для сенсора версии 3.x.

Примечание.

Известная проблема: В некоторых средах с датчиками v3 предупреждения о состоянии, связанные с аудитом событий Windows, могут сохраняться, даже если аудит настроен корректно. В основном это происходит при ручной настройке параметров аудита, например, с помощью групповой политики или PowerShell. Датчик остается работоспособным и обнаружения не затрагиваются. Чтобы устранить эту проблему, включите автоматическую настройку аудита Windows на портале Defender для удостоверений в разделе Параметры>Дополнительные функции.

В следующих разделах описывается конфигурация для каждого типа сервера:

Настройка аудита на контроллере домена

Чтобы настроить аудит на контроллере домена, выполните следующие действия.

Настройка расширенного аудита служб каталогов

В этом разделе описывается, как изменить параметры политики аудита (Premium) контроллера домена для Microsoft Defender for Identity.

  1. Войдите на сервер с правами администратора домена.

  2. Откройте редактор управления групповыми политиками через Диспетчер серверов>Средства>Управление групповыми политиками.

  3. Разверните Организационные единицы контроллеров домена, щелкните правой кнопкой мыши Политика контроллеров домена по умолчанию, а затем выберите Изменить.

    Снимок экрана: панель редактирования политики по умолчанию для контроллеров домена.

    Примечание.

    Используйте политику контроллеров домена по умолчанию или выделенный объект групповой политики, чтобы задать эти политики.

  4. Перейдите в Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности. В зависимости от политики, которую вы хотите включить, выполните следующие действия.

    1. Перейдите в Конфигурация расширенной политики аудита>Политики аудита.

      Снимок экрана с вариантами выбора для открытия политики аудита.

    2. В разделе Политики аудита измените каждую из следующих политик и выберите Настроить следующие события аудита для событий успешного и неудачного выполнения .

      Политика аудита Подкатегория Идентификаторы событий для триггеров
      Вход в учетную запись Проверка учетных данных для аудита 4776
      Управление учетными записями Аудит управления учетными записями компьютеровСм. примечание 4741, 4743
      Управление учетными записями Аудит управления группами рассылкиСм. примечание 4753, 4763
      Управление учетными записями Аудит управления группами безопасностиСм. примечание 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Управление учетными записями Аудит управления учетными записями пользователей 4726
      DS Access Сведения об изменениях службы каталогов аудитасм. в заметке 5136
      Система Расширение системы безопасности аудитаСм. примечание 7045
      DS Access Аудит доступа к службе каталогов 4662 — для этого события необходимо также настроить аудит объектов домена.

      Примечание.

      * Эти подкатегории не поддерживают события сбоя. Добавьте их в целях аудита на случай, если они будут реализованы в будущем. Дополнительные сведения см. в разделах Аудит управления учетными записями компьютера, Аудит управления группами безопасности и Аудит расширения системы безопасности.

    3. Чтобы настроить управление группами безопасности аудита, в разделе Управление учетными записями выберите Аудит управления группами безопасности, а затем выберите Настроить следующие события аудита для событий успешного и неудачного выполнения .

      Снимок экрана: журнал свойств управления группой безопасности аудита.

  5. В командной строке с повышенными привилегиями введите gpupdate.

  6. После применения политики через GPO убедитесь, что новые события появились в Просмотре событий в разделе Журналы Windows>Безопасность.

    Чтобы протестировать политики аудита из командной строки, выполните следующую команду:

    auditpol.exe /get /category:*
    

Дополнительные сведения см. в справочной документации auditpol.

Настройка аудита NTLM

Когда датчик Defender для идентификации анализирует событие Windows 8004, он дополняет сведения о действиях аутентификации NTLM в Defender для идентификации данными о сервере, к которому был выполнен доступ. В этом разделе описаны шаги по настройке для аудита события Windows 8004.

Примечание.

Примените групповые политики домена для сбора события Windows 8004 только на контроллерах домена.

Чтобы настроить аудит NTLM, выполните следующие действия.

  1. Откройте Управление групповой политикой, разверните Организационные единицы контроллеров домена, щелкните правой кнопкой мыши Политика контроллеров домена по умолчанию, а затем выберите Изменить.

  2. Перейдите в раздел Политика контроллеров домена по умолчанию>Локальные политики>Параметры безопасности.

  3. Настройте указанные политики безопасности следующим образом:

    Параметр политики безопасности Значение
    Сетевая безопасность: ограничение NTLM: исходящий трафик NTLM на удаленные серверы Проверить все
    Сетевая безопасность: ограничение NTLM: аудит проверки подлинности NTLM в этом домене Включить все
    Сетевая безопасность: ограничение NTLM: аудит входящего трафика NTLM Включение аудита для всех учетных записей
  4. Чтобы настроить исходящий трафик NTLM на удаленные серверы, в разделе Параметры безопасности дважды щелкните Безопасность сети: ограничение NTLM: исходящий трафик NTLM к удаленным серверам, а затем выберите Аудит всех.

Снимок экрана: конфигурация аудита исходящего трафика NTLM на удаленные серверы.

Настройка аудита объектов домена

Чтобы собирать события изменения объекта, например для события 4662, необходимо также настроить аудит объектов для пользователя, группы, компьютера и других объектов. В следующей процедуре описывается включение аудита в домене Active Directory.

Чтобы настроить аудит объектов домена, выполните следующие действия.

  1. Откройте консоль Пользователи и компьютеры Active Directory.

  2. Выберите домен, который требуется выполнить аудит.

  3. Выберите меню Вид , а затем — Дополнительные функции.

  4. Щелкните правой кнопкой мыши домен и выберите Свойства.

    Снимок экрана: выбор для открытия свойств контейнера.

  5. Перейдите на вкладку Безопасность и выберите Дополнительно.

    Снимок экрана: диалоговое окно для открытия расширенных свойств безопасности.

  6. В разделе Дополнительные параметры безопасности перейдите на вкладку Аудит и нажмите кнопку Добавить.

    Снимок экрана: вкладка

  7. Выберите субъект.

    Снимок экрана: кнопка для выбора субъекта.

  8. В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.

    Снимок экрана, на котором вводится имя объекта «Все».

  9. Вернуться к записи аудита. Необходимо создать отдельную запись аудита для каждого из следующих типов объектов:

    • Дочерние пользовательские объекты
    • Объекты дочерних групп
    • Дочерние объекты компьютеров
    • Дочерние объекты msDS-GroupManagedServiceAccount
    • Дочерние объекты msDS-ManagedServiceAccount
    • Дочерние объекты msDS-DelegatedManagedServiceAccount1

    Важно!

    Аудит необходимо настроить для всех перечисленных типов объектов, а не только для пользовательских объектов. Настройка аудита только для одного типа объектов приводит к неполному охвату обнаружения.

    Для каждого типа объекта сделайте следующее:

    1. В поле Тип выберите Успешно.

    2. Для параметра Область применения выберите тип объекта из списка.

    3. В разделе Разрешения прокрутите вниз и нажмите кнопку Очистить все .

      Снимок экрана: кнопка для очистки всех разрешений.

    4. Прокрутите обратно вверх и выберите Полный доступ. Выбраны все разрешения.

    5. Снимите флажки у разрешений «Содержимое списка», «Чтение всех свойств» и «Чтение разрешений», а затем нажмите кнопку ОК. На этом шаге для всех параметров свойств будет задано значение Запись.

      Снимок экрана: выбор разрешений.

      Теперь все соответствующие изменения в службах каталогов отображаются как 4662 события при их активации.

Примечание.

  • Разрешения на аудит можно назначить всем объектам-потомкам, используя только типы объектов, описанные на предыдущем шаге.
  • Класс msDS-DelegatedManagedServiceAccount относится только к доменам с по крайней мере одним контроллером домена Windows Server 2025.

Настройка аудита на уровне объектов в папке конфигурации AD FS

  1. Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в котором нужно включить журналы.

  2. Перейдите в раздел Программные данные>Microsoft>ADFS.

    Снимок экрана контейнера для служб федерации Active Directory (AD FS).

  3. Щелкните правой кнопкой мыши ADFS и выберите Свойства.

  4. Перейдите на вкладку Безопасность и выберите Дополнительные>параметры безопасности. Затем перейдите на вкладку Аудит и выберите Добавить>Выберите субъект.

  5. В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.

  6. Вернитесь к записи аудита. Сделайте следующий выбор:

    • В поле Тип выберите Все.
    • Для параметра Область применения выберите Этот объект и все объекты-потомки.
    • В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Прочитать все свойства и Записать все свойства.

    Снимок экрана: параметры аудита для службы федерации Active Directory (AD FS).

  7. Нажмите OK.

Настройка аудита на сервере AD FS

В этом разделе описано, как изменить конфигурации аудита службы федерации Active Directory (AD FS) (AD FS) для Defender for Identity.

Настройте групповую политику для аудита событий

  1. Создайте групповую политику, которая будет применяться к службам федерации Active Directory (AD FS).

  2. Настройте следующие параметры аудита:

    1. Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Доступ к объекту\Аудит созданного приложения.

    2. Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.

    Снимок экрана: конфигурация расширенной политики аудита.

Настройка аудита событий AD FS в службе управления AD FS

  1. Выберите Пуск>Программы>Администрирование>Управление AD FS.

  2. Перейдите в раздел Действия>Изменение свойств службы федерации.

  3. Перейдите на вкладку События .

  4. Установите флажки Успешные проверки и Неудачные проверки.

  5. Нажмите OK.

    Снимок экрана: страница свойств службы федерации.

Настройте подробное ведение журнала для событий AD FS

На серверах AD FS, где работают датчики, уровень аудита для соответствующих событий должен быть установлен в значение Verbose.

Используйте следующую команду PowerShell, чтобы настроить уровень аудита на Verbose:

Set-AdfsProperties -AuditLevel Verbose

Настройка аудита на сервере AD CS

Если вы работаете с выделенным сервером с настроенными службами сертификатов Active Directory (AD CS), настройте аудит следующим образом, чтобы просмотреть выделенные оповещения и отчеты оценки безопасности:

  1. Создайте групповую политику для применения к серверу AD CS. Измените его и настройте следующие параметры аудита:

    1. Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Доступ к объектам\Службы сертификации аудита.

    2. Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.

    Снимок экрана с настройкой событий аудита для служб сертификатов Active Directory в редакторе управления групповыми политиками.

  2. Настройте аудит в центре сертификации (ЦС) одним из следующих методов:

    • Чтобы настроить аудит ЦС с помощью PowerShell, выполните следующую команду:
certutil -setreg CA\AuditFilter 127 
Restart-Service certsvc

Эта команда обновляет параметры аудита ЦС и перезапускает службу служб сертификатов, чтобы изменения вступили в силу.

  • Чтобы настроить аудит ЦС на портале Defender, выполните следующие действия.

    1. Выберите Пуск>Центр сертификации (классическое приложение MMC). Щелкните правой кнопкой мыши на имени вашего ЦС и выберите Свойства.

      Снимок экрана: диалоговое окно центра сертификации.

    2. Перейдите на вкладку Аудит , выберите все события, которые требуется выполнить аудит, а затем нажмите кнопку Применить.

      Снимок экрана: вкладка

Примечание.

Настройка аудита событий запуска и остановки служб сертификатов Active Directory может привести к задержкам перезапуска при работе с большой базой данных AD CS. Рассмотрите возможность удаления ненужных записей из базы данных. Кроме того, не включайте события этого конкретного типа.

Настройка аудита в Microsoft Entra Connect

Чтобы настроить аудит на серверах Microsoft Entra Connect, выполните следующие действия.

  1. Создайте групповую политику для применения к серверам Microsoft Entra Connect.

  2. Измените групповую политику и настройте следующие параметры аудита:

    1. Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Вход/Выход\Аудит входа.

    2. Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.

    Снимок экрана редактора управления групповыми политиками.

Настройка аудита в контейнере конфигурации

Аудит контейнера конфигурации требуется только для сред, в которых в настоящее время или ранее был Microsoft Exchange. В этих средах есть контейнер Exchange, расположенный в разделе Конфигурация домена.

  1. Откройте средство редактирования ADSI.

  2. Выберите Запустить>запуск, введите ADSIEdit.msc, а затем нажмите кнопку ОК.

  3. В меню Действие выберите Подключиться к.

  4. Перейдите в Параметры подключения>Выберите стандартный контекст именования, >Конфигурация и нажмите ОК.

  5. Разверните контейнер Конфигурация , чтобы отобразить узел Конфигурация , который начинается с "CN=Configuration,DC=...".

    Снимок экрана: варианты открытия свойств узла конфигурации CN.

  6. Щелкните правой кнопкой мыши узел Конфигурация и выберите Свойства.

    Снимок экрана с параметрами открытия окна свойств узла

  7. Перейдите на вкладку Безопасность и выберите Дополнительно.

  8. В разделе Дополнительные параметры безопасности перейдите на вкладку Аудит и нажмите кнопку Добавить.

  9. Выберите субъект.

  10. В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.

  11. Вернитесь к записи аудита. Сделайте следующий выбор:

    • В поле Тип выберите Все.
    • Для параметра Область применения выберите Этот объект и все объекты-потомки.
    • В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Записать все свойства.

    Снимок экрана: параметры аудита для контейнера конфигурации.

  12. Нажмите OK.

Настройка сбора событий Windows с помощью PowerShell

Дополнительные сведения см. в справочнике по PowerShell для Defender для идентификации:

Следующие команды показывают, как с помощью PowerShell изменить параметры политики Audit (Premium) на контроллере вашего домена для Microsoft Defender for Identity.

Чтобы просмотреть политики аудита, выполните следующие действия.

Используйте командлет Get-MDIConfiguration, чтобы получить текущие значения конфигурации Defender for Identity в режиме домена или локального компьютера:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Где:

  • Mode указывает, следует ли использовать Domain режим или LocalMachine . В Domain режиме параметры поступают из объектов групповой политики. В LocalMachine режиме параметры поступают с локального компьютера.
  • Configuration указывает, какую конфигурацию следует получить. Используйте All для получения всех конфигураций.

Чтобы настроить параметры, выполните следующие действия.

Используйте следующий синтаксис для применения одной или нескольких конфигураций Defender for Identity в режиме домена или локального компьютера:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Где:

  • Mode указывает, следует ли использовать Domain режим или LocalMachine . В Domain режиме параметры поступают из объектов групповой политики. В LocalMachine режиме параметры поступают с локального компьютера.
  • Configuration указывает, какую конфигурацию следует задать. Используйте All для задания всех конфигураций.
  • CreateGpoDisabled указывает, следует ли создавать объекты групповой политики и оставлять их отключенными.
  • SkipGpoLink указывает, что ссылки GPO не создаются.
  • Force указывает, что конфигурация задана или объекты групповой политики создаются без проверки текущего состояния.

В следующем примере применяется полный рекомендуемый набор параметров конфигурации Defender for Identity с помощью групповой политики в режиме домена, создаются объекты групповой политики и связываются между собой:

Set-MDIConfiguration -Mode Domain -Configuration All

Обновление устаревших конфигураций

Defender for Identity больше не требует регистрации событий 1644. Если вы включили один из следующих параметров, удалите их из реестра. Эти значения реестра настроили уровни ведения журнала диагностики NTDS и пороговые значения поиска, которые ранее требовались для коллекции событий 1644, но больше не нужны.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Дополнительные сведения см. в разделе: