Microsoft Defender para auditoría de identidad

Microsoft Defender for Identity monitorea sus controladores de dominio capturando y analizando el tráfico de red y aprovechando los eventos de Windows directamente desde sus controladores de dominio. Es necesario habilitar la auditoría para que los eventos de Windows aparezcan en el visor de eventos. Lamentablemente, la auditoría no está activada de forma predeterminada. Microsoft creó una excelente página de documentos sobre la configuración de la colección de eventos de Windows, pero requiere "mucho" trabajo manual, así que decidí hacer la vida un poco más fácil. Creé una exportación de las políticas necesarias para Microsoft Defender for Identity para mejorar la detección usando los eventos de Windows para que otros puedan importar usando un solo comando.

Los documentos de Microsoft describen cinco configuraciones. Idealmente, se deben realizar todas las configuraciones de Microsoft Defender for Identity para permitir una detección mejorada. Estos son los cinco ajustes de configuración.

1. Configurar políticas de auditoría
2. Identificador de evento 8004 (NTLM)
3. ID de evento 1644 (servicio web de Active Directory)
4. Configurar la auditoría de objetos
5. Auditoría para detecciones específicas (AD FS y Exchange)

Para los primeros tres ajustes de configuración, creé una copia de seguridad de un GPO, que puedes importar usando un solo comando.

1. Descargue los archivos haciendo clic en el botón verde "Código" en la parte superior del repositorio, seguido de "Descargar ZIP".
2. Desempaquete los archivos en una ubicación que recuerde.
3. Ejecute el comando de PowerShell que se muestra a continuación.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

Para obtener más información, consulte la publicación de mi blog:

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/