ID 감사를 위한 Microsoft Defender

Microsoft Defender for Identity는 네트워크 트래픽을 캡처 및 구문 분석하고 도메인 컨트롤러에서 직접 Windows 이벤트를 활용하여 도메인 컨트롤러를 모니터링합니다. 이벤트 뷰어에 Windows 이벤트를 표시하려면 감사를 활성화해야 합니다. 불행하게도 감사는 기본적으로 활성화되어 있지 않습니다. Microsoft는 Windows 이벤트 수집 구성에 대한 훌륭한 문서 페이지를 만들었지만 수동 작업이 "많기" 때문에 좀 더 쉽게 만들기로 결정했습니다. 다른 사람이 단일 명령을 사용하여 가져올 수 있도록 Windows 이벤트를 사용하여 검색을 강화하기 위해 Microsoft Defender for Identity에 필요한 정책 내보내기를 만들었습니다.

Microsoft 문서에서는 다섯 가지 구성을 설명합니다. 이상적으로는 향상된 검색을 활성화하려면 Microsoft Defender for Identity에 대한 모든 구성을 수행해야 합니다. 이는 5가지 구성 설정입니다.

1. 감사 정책 구성
2. 이벤트 ID 8004(NTLM)
3. 이벤트 ID 1644(Active Directory 웹 서비스)
4. 개체 감사 구성
5. 특정 검색에 대한 감사(AD FS 및 Exchange)

처음 세 가지 구성 설정의 경우 단일 명령을 사용하여 가져올 수 있는 GPO 백업을 만들었습니다.

1. 저장소 상단에 있는 녹색 "코드" 버튼을 클릭한 다음 "ZIP 다운로드"를 클릭하여 파일을 다운로드하세요.
2. 기억하는 위치에 파일의 압축을 풉니다.
3. 아래 표시된 PowerShell 명령을 실행합니다.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

자세한 내용은 내 블로그 게시물을 참조하세요.

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/