Важный
«Этот репозиторий теперь находится в режиме «синего экрана» — заархивирован и заморожен во времени!»
Защитник Microsoft для удостоверений отслеживает ваши контроллеры домена, захватывая и анализируя сетевой трафик, а также используя события Windows непосредственно с ваших контроллеров домена. Чтобы события Windows отображались в средстве просмотра событий, необходимо включить аудит. К сожалению, аудит не включен по умолчанию. Microsoft создала отличную страницу документации по настройке сбора событий Windows, но это «много» ручной работы, поэтому я решил немного облегчить жизнь. Я создал экспорт политик, необходимых для Microsoft Defender for Identity, чтобы улучшить обнаружение с помощью событий Windows, чтобы другие могли импортировать их с помощью одной команды.
Документы Microsoft описывают пять конфигураций. В идеале необходимо выполнить все настройки Microsoft Defender для удостоверений, чтобы обеспечить расширенное обнаружение. Это пять настроек конфигурации.
Настройка политик аудита
Идентификатор события 8004 (NTLM)
Код события 1644 (веб-служба Active Directory)
Настройка аудита объектов
Аудит конкретных обнаружений (AD FS и Exchange)
Для первых трех параметров конфигурации я создал резервную копию объекта групповой политики, которую вы можете импортировать с помощью одной команды.
Загрузите файлы, нажав зеленую кнопку «Код» в верхней части репозитория, а затем «Загрузить ZIP».
Распакуйте файлы в место, которое вы помните.
Запустите команду PowerShell, показанную ниже.
Import-Gpo -BackupGpoName «Защитник Microsoft для аудита удостоверений» -TargetName «Защитник Microsoft для аудита удостоверений» -Path C:UnpackedFiles -CreateIfNeeded
Для получения дополнительной информации см. мой пост в блоге:
https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/
