Microsoft Defender untuk Audit Identitas

Microsoft Defender for Identity memantau pengontrol domain Anda dengan menangkap dan menguraikan lalu lintas jaringan dan memanfaatkan peristiwa Windows langsung dari pengontrol domain Anda. Audit harus diaktifkan agar acara Windows muncul di penampil acara. Sayangnya, audit tidak diaktifkan secara default. Microsoft membuat halaman dokumen yang bagus tentang konfigurasi kumpulan acara Windows, tetapi ini "banyak" pekerjaan manual, jadi saya memutuskan untuk membuat hidup sedikit lebih mudah. Saya membuat ekspor kebijakan yang diperlukan untuk Microsoft Defender for Identity guna meningkatkan deteksi menggunakan peristiwa Windows agar orang lain dapat mengimpor menggunakan satu perintah.

Dokumen Microsoft menjelaskan lima konfigurasi. Idealnya, semua konfigurasi perlu dilakukan agar Microsoft Defender for Identity dapat mengaktifkan deteksi yang lebih baik. Ini adalah lima pengaturan konfigurasi.

1. Konfigurasikan Kebijakan Audit
2. ID Peristiwa 8004 (NTLM)
3. ID Peristiwa 1644 (Layanan Web Direktori Aktif)
4. Konfigurasikan Audit Objek
5. Audit untuk Deteksi Tertentu (AD FS dan Exchange)

Untuk tiga pengaturan konfigurasi pertama, saya membuat cadangan GPO, yang dapat Anda impor menggunakan satu perintah.

1. Unduh file dengan mengklik tombol hijau "Kode" di atas repositori, diikuti dengan "Unduh ZIP".
2. Buka paket file ke lokasi yang Anda ingat.
3. Jalankan perintah PowerShell yang ditunjukkan di bawah ini.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

Untuk informasi lebih lanjut lihat posting blog saya:

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/