Microsoft Defender para auditoria de identidade

O Microsoft Defender for Identity monitora seus controladores de domínio capturando e analisando o tráfego de rede e aproveitando os eventos do Windows diretamente de seus controladores de domínio. A auditoria precisa estar habilitada para que os eventos do Windows apareçam no visualizador de eventos. Infelizmente, a auditoria não está ativada por padrão. A Microsoft criou uma ótima página de documentação sobre como configurar a coleção de eventos do Windows, mas é “muito” trabalho manual, então decidi tornar a vida um pouco mais fácil. Criei uma exportação das políticas necessárias para o Microsoft Defender for Identity para aprimorar a detecção usando os eventos do Windows para que outros importem usando um único comando.

Os documentos da Microsoft descrevem cinco configurações. Idealmente, todas as configurações precisam ser feitas para o Microsoft Defender for Identity para permitir a detecção aprimorada. Estas são as cinco definições de configuração.

1. Configurar políticas de auditoria
2. ID do evento 8004 (NTLM)
3. ID do evento 1644 (serviço Web do Active Directory)
4. Configurar auditoria de objetos
5. Auditoria para detecções específicas (AD FS e Exchange)

Para as três primeiras definições de configuração, criei um backup de um GPO, que você pode importar usando um único comando.

1. Baixe os arquivos clicando no botão verde “Código” na parte superior do repositório, seguido de “Baixar ZIP”.
2. Descompacte os arquivos em um local que você lembre.
3. Execute o comando do PowerShell mostrado abaixo.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

Para mais informações veja minha postagem no blog:

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/