ID 監査のための Microsoft Defender

Microsoft Defender for Identity は、ネットワーク トラフィックをキャプチャして解析し、ドメイン コントローラーから Windows イベントを直接利用することで、ドメイン コントローラーを監視します。 Windows イベントをイベント ビューアに表示するには、監査を有効にする必要があります。残念ながら、監査はデフォルトではオンになっていません。 Microsoft は、Windows イベント収集の構成に関する優れたドキュメント ページを作成しましたが、手作業が「多く」かかるため、作業を少し楽にすることにしました。 Microsoft Defender for Identity に必要なポリシーのエクスポートを作成し、他のユーザーが 1 つのコマンドを使用してインポートできるように Windows イベントを使用した検出を強化しました。

Microsoft のドキュメントでは 5 つの構成について説明しています。理想的には、強化された検出を有効にするために、Microsoft Defender for Identity のすべての構成を行う必要があります。これらは 5 つの構成設定です。

1. 監査ポリシーの構成
2. イベント ID 8004 (NTLM)
3. イベント ID 1644 (Active Directory Web サービス)
4. オブジェクト監査の構成
5. 特定の検出の監査 (AD FS および Exchange)

最初の 3 つの構成設定については、GPO のバックアップを作成しました。これは、1 つのコマンドを使用してインポートできます。

1. リポジトリの上部にある緑色の「コード」ボタンをクリックし、続いて「ZIP をダウンロード」をクリックしてファイルをダウンロードします。
2. ファイルを覚えている場所に解凍します。
3. 以下に示す PowerShell コマンドを実行します。

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

詳細については、私のブログ投稿を参照してください。

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/