Microsoft Defender لتدقيق الهوية

يقوم Microsoft Defender for Identity بمراقبة وحدات التحكم بالمجال لديك عن طريق التقاط حركة مرور الشبكة وتحليلها والاستفادة من أحداث Windows مباشرةً من وحدات التحكم بالمجال لديك. يجب تمكين التدقيق حتى تظهر أحداث Windows في عارض الأحداث. لسوء الحظ، التدقيق ليس قيد التشغيل بشكل افتراضي. أنشأت Microsoft صفحة مستندات رائعة حول تكوين مجموعة أحداث Windows، ولكنها تتطلب "الكثير" من العمل اليدوي، لذلك قررت أن أجعل الحياة أسهل قليلاً. لقد قمت بإنشاء تصدير للسياسات اللازمة لـ Microsoft Defender for Identity لتحسين الاكتشاف باستخدام أحداث Windows ليقوم الآخرون باستيرادها باستخدام أمر واحد.

تصف مستندات Microsoft خمسة تكوينات. من الناحية المثالية، يجب إجراء جميع التكوينات لبرنامج Microsoft Defender for Identity لتمكين الاكتشاف المحسن. هذه هي إعدادات التكوين الخمسة.

1. تكوين سياسات التدقيق
2. معرف الحدث 8004 (NTLM)
3. معرف الحدث 1644 (خدمة ويب Active Directory)
4. تكوين تدقيق الكائنات
5. التدقيق لاكتشافات محددة (AD FS وExchange)

بالنسبة لإعدادات التكوين الثلاثة الأولى، قمت بإنشاء نسخة احتياطية لـ GPO، والتي يمكنك استيرادها باستخدام أمر واحد.

1. قم بتنزيل الملفات بالنقر فوق الزر "Code" الأخضر الموجود أعلى المستودع، متبوعًا بـ "Download ZIP".
2. قم بفك ضغط الملفات إلى مكان تتذكره.
3. قم بتشغيل أمر PowerShell الموضح أدناه.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

لمزيد من المعلومات راجع منشور مدونتي:

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/