Importante
"Este repositório está agora no modo 'Tela Azul' - arquivado e congelado no tempo!"
O Microsoft Defender for Identity monitora seus controladores de domínio capturando e analisando o tráfego de rede e aproveitando os eventos do Windows diretamente de seus controladores de domínio. A auditoria precisa estar habilitada para que os eventos do Windows apareçam no visualizador de eventos. Infelizmente, a auditoria não está ativada por padrão. A Microsoft criou uma ótima página de documentação sobre como configurar a coleção de eventos do Windows, mas é “muito” trabalho manual, então decidi tornar a vida um pouco mais fácil. Criei uma exportação das políticas necessárias para o Microsoft Defender for Identity para aprimorar a detecção usando os eventos do Windows para que outros importem usando um único comando.
Os documentos da Microsoft descrevem cinco configurações. Idealmente, todas as configurações precisam ser feitas para o Microsoft Defender for Identity para permitir a detecção aprimorada. Estas são as cinco definições de configuração.
Configurar políticas de auditoria
ID do evento 8004 (NTLM)
ID do evento 1644 (serviço Web do Active Directory)
Configurar auditoria de objetos
Auditoria para detecções específicas (AD FS e Exchange)
Para as três primeiras definições de configuração, criei um backup de um GPO, que você pode importar usando um único comando.
Baixe os arquivos clicando no botão verde “Código” na parte superior do repositório, seguido de “Baixar ZIP”.
Descompacte os arquivos em um local que você lembre.
Execute o comando do PowerShell mostrado abaixo.
Import-Gpo -BackupGpoName "Microsoft Defender para auditoria de identidade" -TargetName "Microsoft Defender para auditoria de identidade" -Path C:UnpackedFiles -CreateIfNeeded
Para mais informações veja minha postagem no blog:
https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/
