Microsoft Defender pour l’audit d’identité

Microsoft Defender pour Identity surveille vos contrôleurs de domaine en capturant et en analysant le trafic réseau et en exploitant les événements Windows directement à partir de vos contrôleurs de domaine. L'audit doit être activé pour que les événements Windows apparaissent dans l'observateur d'événements. Malheureusement, l'audit n'est pas activé par défaut. Microsoft a créé une excellente page de documentation sur la configuration de la collection d'événements Windows, mais cela représente "beaucoup" de travail manuel, j'ai donc décidé de vous simplifier un peu la vie. J'ai créé une exportation des stratégies nécessaires à Microsoft Defender pour Identity afin d'améliorer la détection à l'aide des événements Windows que d'autres peuvent importer à l'aide d'une seule commande.

Les documents Microsoft décrivent cinq configurations. Idéalement, toutes les configurations doivent être effectuées pour Microsoft Defender pour Identity afin de permettre une détection améliorée. Ce sont les cinq paramètres de configuration.

1. Configurer les stratégies d'audit
2. ID d'événement 8004 (NTLM)
3. ID d'événement 1644 (service Web Active Directory)
4. Configurer l'audit des objets
5. Audit pour des détections spécifiques (AD FS et Exchange)

Pour les trois premiers paramètres de configuration, j'ai créé une sauvegarde d'un GPO, que vous pouvez importer à l'aide d'une seule commande.

1. Téléchargez les fichiers en cliquant sur le bouton vert « Code » en haut du référentiel, suivi de « Télécharger ZIP ».
2. Décompressez les fichiers dans un emplacement dont vous vous souvenez.
3. Exécutez la commande PowerShell ci-dessous.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

Pour plus d'informations, consultez mon article de blog :

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/