Microsoft Defender für Identitätsprüfung

Microsoft Defender for Identity überwacht Ihre Domänencontroller, indem es den Netzwerkverkehr erfasst und analysiert und Windows-Ereignisse direkt von Ihren Domänencontrollern nutzt. Damit die Windows-Ereignisse in der Ereignisanzeige angezeigt werden, muss die Überwachung aktiviert sein. Leider ist die Überwachung nicht standardmäßig aktiviert. Microsoft hat eine tolle Dokumentationsseite zum Konfigurieren der Windows-Ereignissammlung erstellt, aber es ist „viel“ manuelle Arbeit, also habe ich beschlossen, das Leben etwas einfacher zu machen. Ich habe einen Export der für Microsoft Defender for Identity erforderlichen Richtlinien erstellt, um die Erkennung mithilfe der Windows-Ereignisse zu verbessern, damit andere sie mit einem einzigen Befehl importieren können.

In den Microsoft-Dokumenten werden fünf Konfigurationen beschrieben. Im Idealfall müssen alle Konfigurationen für Microsoft Defender for Identity durchgeführt werden, um eine verbesserte Erkennung zu ermöglichen. Dies sind die fünf Konfigurationseinstellungen.

1. Konfigurieren Sie Überwachungsrichtlinien
2. Ereignis-ID 8004 (NTLM)
3. Ereignis-ID 1644 (Active Directory-Webdienst)
4. Objektüberwachung konfigurieren
5. Überwachung auf bestimmte Erkennungen (AD FS und Exchange)

Für die ersten drei Konfigurationseinstellungen habe ich ein Backup eines GPO erstellt, das Sie mit einem einzigen Befehl importieren können.

1. Laden Sie die Dateien herunter, indem Sie oben im Repository auf die grüne Schaltfläche „Code“ und anschließend auf „ZIP herunterladen“ klicken.
2. Entpacken Sie die Dateien an einen Speicherort, den Sie sich merken.
3. Führen Sie den unten gezeigten PowerShell-Befehl aus.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

Weitere Informationen finden Sie in meinem Blogbeitrag:

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/