Important
« Ce dépôt est désormais en mode « Écran bleu » : archivé et figé dans le temps ! »
Microsoft Defender pour Identity surveille vos contrôleurs de domaine en capturant et en analysant le trafic réseau et en exploitant les événements Windows directement à partir de vos contrôleurs de domaine. L'audit doit être activé pour que les événements Windows apparaissent dans l'observateur d'événements. Malheureusement, l'audit n'est pas activé par défaut. Microsoft a créé une excellente page de documentation sur la configuration de la collection d'événements Windows, mais cela représente "beaucoup" de travail manuel, j'ai donc décidé de vous simplifier un peu la vie. J'ai créé une exportation des stratégies nécessaires à Microsoft Defender pour Identity afin d'améliorer la détection à l'aide des événements Windows pour que d'autres puissent les importer à l'aide d'une seule commande.
Les documents Microsoft décrivent cinq configurations. Idéalement, toutes les configurations doivent être effectuées pour Microsoft Defender pour Identity afin de permettre une détection améliorée. Ce sont les cinq paramètres de configuration.
Configurer les stratégies d'audit
ID d'événement 8004 (NTLM)
ID d'événement 1644 (service Web Active Directory)
Configurer l'audit des objets
Audit pour des détections spécifiques (AD FS et Exchange)
Pour les trois premiers paramètres de configuration, j'ai créé une sauvegarde d'un GPO, que vous pouvez importer à l'aide d'une seule commande.
Téléchargez les fichiers en cliquant sur le bouton vert « Code » en haut du référentiel, suivi de « Télécharger ZIP ».
Décompressez les fichiers dans un emplacement dont vous vous souvenez.
Exécutez la commande PowerShell ci-dessous.
Import-Gpo -BackupGpoName "Microsoft Defender pour l'audit d'identité" -TargetName "Microsoft Defender pour l'audit d'identité" -Chemin C:UnpackedFiles -CreateIfNeeded
Pour plus d'informations, consultez mon article de blog :
https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/