Wichtig
„Dieses Repo befindet sich jetzt im ‚Blue Screen‘-Modus – archiviert und in der Zeit eingefroren!“
Microsoft Defender for Identity überwacht Ihre Domänencontroller, indem es den Netzwerkverkehr erfasst und analysiert und Windows-Ereignisse direkt von Ihren Domänencontrollern nutzt. Damit die Windows-Ereignisse in der Ereignisanzeige angezeigt werden, muss die Überwachung aktiviert sein. Leider ist die Überwachung nicht standardmäßig aktiviert. Microsoft hat eine tolle Dokumentationsseite zum Konfigurieren der Windows-Ereignissammlung erstellt, aber es ist „viel“ manuelle Arbeit, also habe ich beschlossen, das Leben etwas einfacher zu machen. Ich habe einen Export der Richtlinien erstellt, die für Microsoft Defender for Identity erforderlich sind, um die Erkennung mithilfe der Windows-Ereignisse zu verbessern, damit andere sie mit einem einzigen Befehl importieren können.
In den Microsoft-Dokumenten werden fünf Konfigurationen beschrieben. Im Idealfall müssen alle Konfigurationen für Microsoft Defender for Identity durchgeführt werden, um eine verbesserte Erkennung zu ermöglichen. Dies sind die fünf Konfigurationseinstellungen.
Konfigurieren Sie Überwachungsrichtlinien
Ereignis-ID 8004 (NTLM)
Ereignis-ID 1644 (Active Directory-Webdienst)
Objektüberwachung konfigurieren
Überwachung auf bestimmte Erkennungen (AD FS und Exchange)
Für die ersten drei Konfigurationseinstellungen habe ich ein Backup eines GPO erstellt, das Sie mit einem einzigen Befehl importieren können.
Laden Sie die Dateien herunter, indem Sie oben im Repository auf die grüne Schaltfläche „Code“ und anschließend auf „ZIP herunterladen“ klicken.
Entpacken Sie die Dateien an einen Speicherort, den Sie sich merken.
Führen Sie den unten gezeigten PowerShell-Befehl aus.
Import-Gpo -BackupGpoName „Microsoft Defender for Identity Auditing“ -TargetName „Microsoft Defender for Identity Auditing“ -Path C:UnpackedFiles -CreateIfNeeded
Weitere Informationen finden Sie in meinem Blogbeitrag:
https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/
