Penting
"Repo ini sekarang dalam mode 'Layar Biru'—diarsipkan dan dibekukan tepat waktu!"
Microsoft Defender for Identity memantau pengontrol domain Anda dengan menangkap dan menguraikan lalu lintas jaringan dan memanfaatkan peristiwa Windows langsung dari pengontrol domain Anda. Audit harus diaktifkan agar acara Windows muncul di penampil acara. Sayangnya, audit tidak diaktifkan secara default. Microsoft membuat halaman dokumen yang bagus tentang mengonfigurasi kumpulan acara Windows, tetapi ini "banyak" pekerjaan manual, jadi saya memutuskan untuk membuat hidup sedikit lebih mudah. Saya membuat ekspor kebijakan yang diperlukan untuk Microsoft Defender for Identity guna meningkatkan deteksi menggunakan peristiwa Windows agar orang lain dapat mengimpor menggunakan satu perintah.
Dokumen Microsoft menjelaskan lima konfigurasi. Idealnya, semua konfigurasi perlu dilakukan agar Microsoft Defender for Identity dapat mengaktifkan deteksi yang lebih baik. Ini adalah lima pengaturan konfigurasi.
Konfigurasikan Kebijakan Audit
ID Peristiwa 8004 (NTLM)
ID Peristiwa 1644 (Layanan Web Direktori Aktif)
Konfigurasikan Audit Objek
Audit untuk Deteksi Tertentu (AD FS dan Exchange)
Untuk tiga pengaturan konfigurasi pertama, saya membuat cadangan GPO, yang dapat Anda impor menggunakan satu perintah.
Unduh file dengan mengklik tombol hijau "Kode" di atas repositori, diikuti dengan "Unduh ZIP".
Buka paket file ke lokasi yang Anda ingat.
Jalankan perintah PowerShell yang ditunjukkan di bawah ini.
Impor-Gpo -BackupGpoName "Microsoft Defender untuk Audit Identitas" -TargetName "Microsoft Defender untuk Audit Identitas" -Jalur C:UnpackedFiles -CreateIfNeeded
Untuk informasi lebih lanjut lihat posting blog saya:
https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/
